Forskare har hittat bevis på att nya hotaktörer använder PNG-filer för att leverera skadliga nyttolaster.
ESET och Avast har bekräftat att de har sett en hotaktör vid namn Worok använda denna metod sedan början av september 2022.
Worok har tydligen varit upptagen med att rikta in sig på högprofilerade offer, såsom statliga organisationer, i hela Mellanöstern, Sydostasien och Sydafrika.
flerstegsattack
Attacken är en process i flera steg, där hotaktörerna använder DLL-sidoladdning för att exekvera CLRLoader skadlig kod, som i sin tur laddar PNGLoader DLL, som kan läsa obfuskerad kod gömd i PNG-filer.
Den här koden översätts till DropBoxControl, en anpassad .NET C#-informationsstöldare som missbrukar Dropbox-filvärd för kommunikation och datastöld. Denna skadliga programvara verkar stödja många kommandon, inklusive att köra cmd /c, starta en körbar fil, ladda upp och ladda ner data till och från Dropbox, ta bort data från målenheter, ställa in nya kataloger (för uppladdningar ytterligare bakdörrar) och extrahera information från systemet.
Med tanke på dess verktygslåda tror forskare att Worok är ett verk av en cyberspionagegrupp som arbetar tyst, gillar att röra sig i sidled för att rikta nätverk och stjäla känslig data. Det verkar också använda sina egna proprietära verktyg, eftersom forskare inte har observerat att någon annan använder dem.
Worok använder "läst signifikant bit (LSB)-kodning", bäddar in små bitar av skadlig kod i de minst signifikanta bitarna av bildpixlar, har det sagts.
Steganografi verkar bli mer och mer populär som en cyberbrottstaktik. På liknande sätt upptäckte forskare vid Check Point Research (CPR) nyligen ett skadligt paket i det Python-baserade PyPI-förrådet som använder en bild för att leverera skadlig kod från trojanska hästar (öppnas i en ny flik) som kallas apicolor, som ofta används GitHub som distribution. metod.
Det till synes godartade paketet laddar ner en bild från webben, installerar sedan ytterligare verktyg som bearbetar bilden och utlöser sedan bearbetningsutdata med kommandot exec.
Ett av dessa två krav är judyb-koden, en steganografimodul som kan avslöja dolda meddelanden i bilder. Detta ledde forskare till den ursprungliga bilden, som visar sig ladda ner skadliga paket från webben till offrets slutpunkt (öppnas i en ny flik).
Via: BleepingComputer (öppnas i en ny flik)