Badacze znaleźli dowody na to, że nowe cyberprzestępcy wykorzystują pliki PNG do dostarczania złośliwych ładunków.
ESET i Avast potwierdziły, że od początku września 2022 r. widzieli cyberprzestępcę o imieniu Worok, który używał tej metody.
Worok najwyraźniej był zajęty atakowaniem głośnych ofiar, takich jak organizacje rządowe, na całym Bliskim Wschodzie, w Azji Południowo-Wschodniej i Afryce Południowej.
atak wieloetapowy
Atak jest procesem wieloetapowym, w którym cyberprzestępcy wykorzystują ładowanie boczne DLL do uruchomienia złośliwego oprogramowania CLRLoader, które z kolei ładuje DLL PNGLoader, zdolny do odczytywania zaciemnionego kodu ukrytego w plikach PNG.
Ten kod jest tłumaczony na DropBoxControl, niestandardowy program do kradzieży informacji .NET C#, który wykorzystuje hosting plików Dropbox do komunikacji i kradzieży danych. To złośliwe oprogramowanie wydaje się obsługiwać wiele poleceń, w tym uruchamianie cmd /c, uruchamianie pliku wykonywalnego, przesyłanie i pobieranie danych do iz Dropbox, usuwanie danych z urządzeń docelowych, ustawianie nowych katalogów (w celu przesyłania dodatkowych backdoorów) i wyodrębnianie informacji z systemu.
Biorąc pod uwagę jego zestaw narzędzi, naukowcy uważają, że Worok jest dziełem grupy cyberszpiegowskiej, która działa cicho, lubi poruszać się w bok w sieciach docelowych i kraść poufne dane. Wydaje się również, że korzysta z własnych, zastrzeżonych narzędzi, ponieważ naukowcy nie zaobserwowali, by ktokolwiek z nich korzystał.
Mówi się, że Worok używa kodowania „najmniej znaczącego bitu (LSB)”, osadzając małe fragmenty złośliwego kodu w najmniej znaczących bitach pikseli obrazu.
Wydaje się, że steganografia staje się coraz bardziej popularna jako taktyka cyberprzestępczości. Podobnie badacze z Check Point Research (CPR) niedawno wykryli złośliwy pakiet w repozytorium PyPI opartym na Pythonie, który wykorzystuje obraz do dostarczania złośliwego oprogramowania typu koń trojański (otwiera się w nowej karcie) o nazwie apicolor, który jest powszechnie używany jako dystrybucja GitHub. metoda.
Z pozoru niegroźny pakiet pobiera obraz z sieci, następnie instaluje dodatkowe narzędzia, które przetwarzają obraz, a następnie uruchamiają wynik przetwarzania za pomocą polecenia exec.
Jednym z tych dwóch wymagań jest kod judyb, moduł steganograficzny zdolny do ujawniania ukrytych wiadomości w obrazach. Doprowadziło to badaczy do oryginalnego obrazu, który okazuje się pobierać szkodliwe pakiety z sieci na punkt końcowy ofiary (otwiera się w nowej karcie).
Przez: BleepingComputer (Otwiera się w nowej karcie)