Исследователи обнаружили доказательства того, что новые субъекты угроз используют файлы PNG для доставки вредоносных полезных нагрузок.
И ESET, и Avast подтвердили, что с начала сентября 2022 года субъект угрозы по имени Workok использует этот метод.
Судя по всему, Ворок был занят поиском высокопоставленных жертв, таких как правительственные организации, на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.
Многоступенчатая атака
Атака представляет собой многоэтапный процесс, в котором субъекты угрозы используют неопубликованную загрузку DLL для выполнения вредоносного ПО CLRLoader, которое, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, скрывающийся в файлах PNG.
Этот код транслируется в DropBoxControl, специализированный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Это вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и загрузку данных в Dropbox и из него, удаление данных с целевых конечных точек, настройку новых каталогов (для дополнительных полезных нагрузок бэкдора) и извлечение системной информации.
Учитывая его инструментарий, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться по целевым сетям и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не наблюдали их использования кем-либо еще.
Как сообщается, Worok использует «кодировку наименее значимых битов (LSB)», встраивая крошечные фрагменты вредоносного кода в наименее важные биты пикселей изображения.
Стеганография становится все более популярной в качестве тактики киберпреступности. В том же духе исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет в репозитории PyPI на основе Python, который использует образ для доставки троянской вредоносной программы. (откроется в новой вкладке) под названием apicolor, в основном используя GitHub в качестве метода распространения.
На первый взгляд безобидный пакет загружает изображение из Интернета, а затем устанавливает дополнительные инструменты, которые обрабатывают изображение, а затем запускают обработку сгенерированного вывода с помощью команды exec.
Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходной картинке, которая, как оказалось, загружает вредоносные пакеты из Интернета на конечную точку жертвы. (откроется в новой вкладке).
С помощью: Пищит Компьютер (откроется в новой вкладке)
