В изображениях PNG скрыто больше вредоносных программ, так что будьте осторожны
13 ноября 2022 г.Исследователи обнаружили свидетельства того, что новые злоумышленники используют файлы PNG для доставки вредоносных полезных нагрузок.
И ESET, и Avast подтвердили, что с начала сентября 2022 года этот метод использовался злоумышленником под именем Worok.< /p>
Судя по всему, Ворок был занят поиском высокопоставленных жертв, таких как правительственные организации, на Ближнем Востоке, в Юго-Восточной Азии и Южной Африке.
Многоэтапная атака
Атака представляет собой многоэтапный процесс, в котором субъекты угрозы используют неопубликованную загрузку DLL для запуска вредоносного ПО CLRLoader, которое, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, спрятанный в файлах PNG.
Этот код транслируется в DropBoxControl, специальный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Это вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и выгрузку данных в Dropbox и из него, удаление данных с целевых конечных точек, настройку новых каталогов (для дополнительных полезных нагрузок бэкдора) и извлечение системной информации.< /p>
Оригинальные инструменты
Учитывая набор инструментов, исследователи считают, что Worok — продукт работы группы кибершпионажа, которая работает тихо, любит перемещаться по целевым сетям и красть конфиденциальные данные. Похоже, что он также использует свои собственные проприетарные инструменты, поскольку исследователи не наблюдали их использования кем-либо еще.
Worok использует «кодирование наименее значимых битов (LSB)», внедряя крошечные фрагменты вредоносного кода в наименее важные биты пикселей изображения.
Похоже, стеганография становится все более популярной тактикой киберпреступности. Аналогичным образом исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет на базе Python. репозиторий PyPI, который использует изображение для доставки троянской вредоносной программы под названием apicolor, в основном с использованием GitHub в качестве метода распространения.
Выглядящий безобидным пакет загружает изображение из Интернета, а затем устанавливает дополнительные инструменты для обработки изображения, а затем запускает обработку сгенерированного вывода с помощью команды exec.
Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходной картине, которая, как оказалось, загружает вредоносные пакеты из Интернета на конечная точка.
- Это лучшие брандмауэры на сегодняшний день
Через: BleepingComputer
Оригинал