Исследователи обнаружили доказательства того, что новые злоумышленники используют файлы PNG для доставки вредоносных данных.
ESET и Avast подтвердили, что видели злоумышленника по имени Worok, использующего этот метод, с начала сентября 2022 года.
Уорок, очевидно, был занят преследованием высокопоставленных жертв, таких как правительственные организации, на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.
Многоэтапная атака
Атака представляет собой многоэтапный процесс, в котором злоумышленники используют неопубликованную загрузку DLL для запуска вредоносного ПО CLLRoader, которое, в свою очередь, загружает DLL PNGLoader, способную читать запутанный код, скрытый в файлах PNG.
Этот код преобразуется в DropBoxControl, специальный инструмент для кражи данных .NET C#, который использует хостинг файлов Dropbox для связи и кражи данных. Это вредоносное ПО, похоже, поддерживает множество команд, включая запуск cmd /c, запуск исполняемого файла, загрузку и выгрузку данных в Dropbox и из него, удаление данных с целевых устройств, настройку новых каталогов (для загрузки надстроек бэкдора) и извлечение системной информации.
Учитывая набор инструментов, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит проникать в целевые сети и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не заметили, чтобы кто-то еще их использовал.
Уорок использует «кодирование младших значащих битов (LSB)», встраивая небольшие кусочки вредоносного кода в младшие биты пикселей изображения.
Стеганография становится все более популярной в качестве тактики киберпреступности. Аналогичным образом, исследователи из Check Point Research (CPR) недавно обнаружили в репозитории PyPI на базе Python вредоносный пакет, который использует образ для доставки вредоносного ПО-трояна (откроется в новой вкладке) под названием apicolor, который широко использует GitHub в качестве дистрибутива. метод.
На первый взгляд безобидный пакет загружает изображение из Интернета, затем устанавливает дополнительные инструменты, которые обрабатывают изображение, а затем запускают вывод результатов обработки с помощью команды exec.
Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходному образу, который, как оказалось, загружал вредоносные пакеты из сети на терминал жертвы (откроется в новой вкладке).
Через: BleepingComputer (открывается в новой вкладке)