Los investigadores han encontrado evidencia de nuevos actores de amenazas que usan archivos PNG para entregar cargas maliciosas.
ESET y Avast han confirmado haber visto a un actor de amenazas llamado Worok usando este método desde principios de septiembre de 2022.
Aparentemente, Worok ha estado ocupado apuntando a víctimas de alto perfil, como organizaciones gubernamentales, en todo el Medio Oriente, el sudeste de Asia y Sudáfrica.
Ataque en varias etapas
El ataque es un proceso de varios pasos, en el que los actores de la amenaza usan la carga lateral de DLL para ejecutar el malware CLRLoader que, a su vez, carga la DLL PNGLoader, capaz de leer código ofuscado escondido en archivos PNG.
Este código se traduce en DropBoxControl, un ladrón de información personalizado de .NET C# que abusa del alojamiento de archivos de Dropbox para la comunicación y el robo de datos. Este malware parece admitir muchos comandos, incluida la ejecución de cmd /c, el lanzamiento de un ejecutable, la carga y descarga de datos hacia y desde Dropbox, la eliminación de datos de los dispositivos de destino, la configuración de nuevos directorios (para cargas adicionales de puerta trasera) y la extracción de información del sistema.
Dada su caja de herramientas, los investigadores creen que Worok es el trabajo de un grupo de espionaje cibernético que trabaja en silencio, le gusta moverse lateralmente en las redes de destino y robar datos confidenciales. También parece usar sus propias herramientas patentadas, ya que los investigadores no han observado que nadie más las use.
Worok usa "codificación de bits menos significativos (LSB)", incrustando pequeños bits de código malicioso en los bits menos significativos de los píxeles de la imagen, se ha dicho.
La esteganografía parece ser cada vez más popular como táctica de ciberdelincuencia. De manera similar, los investigadores de Check Point Research (CPR) descubrieron recientemente un paquete malicioso en el repositorio PyPI basado en Python que usa una imagen para entregar malware de caballo de Troya (se abre en una nueva pestaña) llamado apicolor, que usa ampliamente GitHub como distribución. método.
El paquete aparentemente benigno descarga una imagen de la web, luego instala herramientas adicionales que procesan la imagen y luego activan la salida del procesamiento usando el comando exec.
Uno de estos dos requisitos es el código judyb, un módulo de esteganografía capaz de revelar mensajes ocultos en imágenes. Esto llevó a los investigadores a la imagen original, que resulta que descarga paquetes maliciosos de la web al terminal de la víctima (se abre en una pestaña nueva).
Через: BleepingComputer (открывается в новой вкладке)