Исследователи обнаружили доказательства того, что новые субъекты угроз используют файлы PNG для доставки вредоносных полезных нагрузок.
ESET и Avast подтвердили, что с начала сентября 2022 года они видели злоумышленника по имени Ворок, использующего этот метод.
Ворок, по-видимому, был занят поиском высокопоставленных жертв, таких как правительственные организации, на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.
многоступенчатая атака
Атака представляет собой многоэтапный процесс, в котором злоумышленники используют неопубликованную загрузку DLL для выполнения вредоносного ПО CLRLoader, которое, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, скрытый в файлах PNG.
Этот код транслируется в DropBoxControl, специальный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Это вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и загрузку данных в Dropbox и из него, удаление данных с целевых устройств, настройку новых каталогов (для загрузки дополнительных бэкдоров) и извлечение информации из системы.
Учитывая его набор инструментов, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться в целевые сети и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не видели, чтобы кто-то еще их использовал.
Утверждается, что Workok использует «кодирование с наименьшим значащим битом (LSB)», встраивая небольшие биты вредоносного кода в младшие биты пикселей изображения.
Стеганография становится все более и более популярной в качестве тактики киберпреступности. Точно так же исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет в репозитории PyPI на основе Python, который использует образ для доставки вредоносного троянского коня (открывается в новой вкладке) под названием apicolor, который широко используется GitHub в качестве дистрибутива. метод.
На первый взгляд безобидный пакет загружает изображение из Интернета, затем устанавливает дополнительные инструменты, обрабатывающие изображение, а затем запускает вывод обработки с помощью команды exec.
Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходному изображению, которое, как выяснилось, загружало вредоносные пакеты из Интернета на конечную точку жертвы (откроется в новой вкладке).
Через: BleepingComputer (открывается в новой вкладке)
