Złośliwe oprogramowanie w obrazkach PNG. Jest go coraz więcej

Cyberprzestępca znany jako Worok ukrywa złośliwe oprogramowanie w plikach PNG. Badacze znaleźli dowody na to, że jest to coraz popularniejszy sposób dostarczania malware'u.

PNG z niespodzianką? Uwaga na wirusy / Fot. Bernard Hermant, Unsplash.com

PNG z niespodzianką? Uwaga na wirusy / Fot. Bernard Hermant, Unsplash.com

ESET oraz Avast potwierdziły, że co najmniej od początku września br. w sieci coraz aktywniej działa cyberprzestępca o nazwie Worok. Był on głównie zajęty atakowaniem głośnych ofiar, jak np. organizacje rządowe. Najczęściej działa na Bliskim Wschodzie, w Azji Południowo-Wschodniej oraz w Afryce Południowej.

Atak jest procesem wieloetapowym, w którym haker wykorzystuje DLL sideloading do uruchomienia szkodliwego oprogramowania CLRLoader, które następnie ładuje bibliotekę DLL PNGLoader, zdolną do odczytywania zaciemnionego kodu ukrytego w plikach PNG.

Zobacz również:

  • Parlament Europejski padł ofiarą cyberataku
  • Dowództwo Komponentu Wojsk Obrony Cyberprzestrzeni (DKWOC) i Cisco zacieśniają cybernetyczną współpracę

Ten kod przekłada się na DropBoxControl, niestandardowy moduł wykradający informacje .NET C, który wykorzystuje hosting plików Dropbox do komunikacji i kradzieży danych.

Sprawdź: 5G w Polsce

Wydaje się, że to złośliwe oprogramowanie obsługuje wiele poleceń, w tym uruchamianie cmd /c, uruchamianie pliku wykonywalnego, pobieranie i przesyłanie danych do i z Dropbox, usuwanie danych z docelowych punktów końcowych, konfigurowanie nowych katalogów (dla dodatkowych ładunków typu backdoor), oraz wyodrębnianie informacji systemowych.

Worok stosuje oryginalne narzędzia

Biorąc pod uwagę zestaw narzędzi, z jakiego korzysta Worok, badacze z firm zabezpieczających uważają, że jest to grupa cyberszpiegowska, która działa cicho, lubi przemieszczać się w poprzek sieci docelowych i wykradać poufne dane. Wydaje się również, że używa własnych, zastrzeżonych narzędzi, ponieważ badacze nie zaobserwowali, aby były one używane przez kogokolwiek innego.

Worok wykorzystuje m.in. LSB (least significant bit) encoding, czyli w wolnym tłumaczeniu kodowanie najmniej znaczącego bitu, osadzając małe fragmenty złośliwego kodu w najmniej ważnych bitach pikseli obrazu.

Steganografia - komunikacja realizowana w taki sposób, aby obecność komunikatu nie mogła zostać wykryta - wydaje się być coraz częściej stosowana w cyberprzestępczości. Zagrożenie w podobnym duchu wykryli niedawno specjaliści z Check Point Research. Chodziło o pakiet w opartym na Pythonie repozytorium PyPI, który wykorzystywał obraz do dostarczania malware'u o nazwie apicolor. Atak ten w dużej mierze wykorzystywał GitHub jako metodę dystrybucji.

Zobacz: Filetracker

Z pozoru nieszkodliwy pakiet pobiera obraz z sieci, a następnie instaluje dodatkowe narzędzia, które przetwarzają obraz i uruchamiają wygenerowane dane wejściowe za pomocą polecenia exec.

Cyberzagrożenia stają się coraz bardziej wyrafinowane. Warto pamiętać, aby stosować odpowiednie narzędzia zabezpieczające.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200