I ricercatori hanno trovato prove di nuovi autori di minacce che utilizzano file PNG per fornire payload dannosi.
ESET e Avast hanno confermato di aver visto un attore di minacce chiamato Worok utilizzare questo metodo dall'inizio di settembre 2022.
Apparentemente Worok è stato impegnato a prendere di mira vittime di alto profilo, come organizzazioni governative, in tutto il Medio Oriente, il sud-est asiatico e il Sud Africa.
attacco in più fasi
L'attacco è un processo in più fasi, in cui gli attori della minaccia utilizzano il sideloading DLL per eseguire il malware CLRLoader, che a sua volta carica la DLL PNGLoader, in grado di leggere il codice offuscato nascosto nei file PNG.
Questo codice si traduce in DropBoxControl, un ladro di informazioni .NET C# personalizzato che abusa dell'hosting di file Dropbox per la comunicazione e il furto di dati. Questo malware sembra supportare molti comandi, tra cui l'esecuzione di cmd /c, l'avvio di un eseguibile, il caricamento e il download di dati da e verso Dropbox, l'eliminazione di dati dai dispositivi di destinazione, l'impostazione di nuove directory (per i caricamenti backdoor aggiuntivi) e l'estrazione di informazioni dal sistema.
Data la sua cassetta degli attrezzi, i ricercatori ritengono che Worok sia il lavoro di un gruppo di spionaggio informatico che lavora in silenzio, ama spostarsi lateralmente alle reti bersaglio e rubare dati sensibili. Sembra anche utilizzare i propri strumenti proprietari, poiché i ricercatori non hanno osservato nessun altro che li utilizza.
Worok utilizza la "codifica del bit meno significativo (LSB)", incorporando piccoli bit di codice dannoso nei bit meno significativi dei pixel dell'immagine, è stato detto.
La steganografia sembra diventare sempre più popolare come tattica del crimine informatico. Allo stesso modo, i ricercatori di Check Point Research (CPR) hanno recentemente scoperto un pacchetto dannoso nel repository PyPI basato su Python che utilizza un'immagine per fornire malware cavallo di Troia (si apre in una nuova scheda) chiamato apicolor, che è ampiamente utilizzato come distribuzione GitHub. metodo.
Il pacchetto apparentemente innocuo scarica un'immagine dal Web, quindi installa strumenti aggiuntivi che elaborano l'immagine e quindi attiva l'output dell'elaborazione utilizzando il comando exec.
Uno di questi due requisiti è il codice judyb, un modulo di steganografia in grado di rivelare messaggi nascosti nelle immagini. Ciò ha portato i ricercatori all'immagine originale, che risulta scaricare pacchetti dannosi dal Web all'endpoint della vittima (si apre in una nuova scheda).
Via: BleepingComputer (si apre in una nuova scheda)