محققان شواهدی یافته اند مبنی بر اینکه عوامل تهدید جدید از فایل های PNG برای ارسال بارهای مخرب استفاده می کنند.
هر دو ESET و Avast تایید کرده اند که از اوایل سپتامبر 2022 تهدیدی به نام Worok را با استفاده از این روش مشاهده کرده اند.
ظاهرا، Worok مشغول شکار قربانیان شناخته شده، مانند سازمان های دولتی، در خاورمیانه، آسیای جنوب شرقی و آفریقای جنوبی بود.
یک حمله چند مرحله ای
این حمله یک فرآیند چند مرحله ای است که در آن عوامل تهدید از یک بارگذار جانبی DLL برای راه اندازی بدافزار CLRLoader استفاده می کنند که به نوبه خود یک PNGLoader DLL را بارگیری می کند که قادر به خواندن کد مبهم پنهان شده در فایل های PNG است.
این کد به DropBoxControl تبدیل می شود، یک Infostealer سفارشی دات نت C# که از میزبانی فایل Dropbox برای برقراری ارتباط و سرقت داده ها سوء استفاده می کند. به نظر می رسد که این بدافزار از دستورات بسیاری پشتیبانی می کند، از جمله اجرای cmd /c، اجرای یک فایل اجرایی، آپلود و دانلود داده ها به و از Dropbox، حذف داده ها از نقاط پایانی هدف، راه اندازی دایرکتوری های جدید (برای درهای پشتی اضافی)، و استخراج اطلاعات سیستم.
با توجه به مجموعه ای از ابزارها، محققان معتقدند که Worok کار یک گروه جاسوسی سایبری است که بی سر و صدا عمل می کند، دوست دارد در شبکه های هدف حرکت کند و داده های حساس را بدزدد. همچنین به نظر می رسد که از ابزارهای اختصاصی خود استفاده می کند، زیرا محققان مشاهده نکردند که شخص دیگری از آنها استفاده می کند.
گفته میشود که Worok از «کدگذاری حداقل بیت مهم (LSB)» استفاده میکند، که بیتهای کوچکی از کد مخرب را در کمترین بیتهای مهم پیکسلهای یک تصویر جاسازی میکند.
به نظر می رسد که استگانوگرافی به عنوان یک تاکتیک جرایم سایبری در حال افزایش است. به طور مشابه، محققان در Check Point Research (CPR) اخیراً یک بسته مخرب را در مخزن PyPI مبتنی بر پایتون کشف کردند که از یک تصویر برای ارائه بدافزار تروجان استفاده میکند. (در یک برگه جدید باز می شود) apicolor نامیده می شود که عمدتاً از GitHub به عنوان یک روش توزیع استفاده می کند.
بسته به ظاهر خوش خیم یک تصویر را از اینترنت دانلود می کند و سپس ابزارهای اضافی را نصب می کند که تصویر را پردازش می کند و سپس خروجی تولید شده را از طریق دستور exec اجرا می کند.
یکی از این دو الزام، کد judyb است، یک ماژول استگانوگرافی که قادر به تشخیص پیام های پنهان در تصاویر است. این امر محققین را به تصویر اولیه سوق داد که به نظر میرسد بستههای مخرب را از اینترنت به نقطه پایانی قربانی دانلود میکند. (در یک برگه جدید باز می شود).
از طریق: BleepingComputer (در یک برگه جدید باز می شود)