A A+ A++

Cyberprzestępca znany jako Worok ukrywa złośliwe oprogramowanie w plikach PNG. Badacze znaleźli dowody na to, że jest to coraz popularniejszy sposób dostarczania malware’u.


PNG z niespodzianką? Uwaga na wirusy / Fot. Bernard Hermant, Unsplash.com

ESET oraz Avast potwierdziły, że co najmniej od początku września br. w sieci coraz aktywniej działa cyberprzestępca o nazwie Worok. Był on głównie zajęty atakowaniem głośnych ofiar, jak np. organizacje rządowe. Najczęściej działa na Bliskim Wschodzie, w Azji Południowo-Wschodniej oraz w Afryce Południowej.

Atak jest procesem wieloetapowym, w którym haker wykorzystuje DLL sideloading do uruchomienia szkodliwego oprogramowania CLRLoader, które następnie ładuje bibliotekę DLL PNGLoader, zdolną do odczytywania zaciemnionego kodu ukrytego w plikach PNG.

Zobacz również:

Ten kod przekłada się na DropBoxControl, niestandardowy moduł wykradający informacje .NET C, który wykorzystuje hosting plików Dropbox do komunikacji i kradzieży danych.

Sprawdź: 5G w Polsce

Wydaje się, że to złośliwe oprogramowanie obsługuje wiele poleceń, w tym uruchamianie cmd /c, uruchamianie pliku wykonywalnego, pobieranie i przesyłanie danych do i z Dropbox, usuwanie danych z docelowych punktów końcowych, konfigurowanie nowych katalogów (dla dodatkowych ładunków typu backdoor), oraz wyodrębnianie informacji systemowych.

Worok stosuje oryginalne narzędzia

Biorąc pod uwagę zestaw narzędzi, z jakiego korzysta Worok, badacze z firm zabezpieczających uważają, że jest to grupa cyberszpiegowska, która działa cicho, lubi przemieszczać się w poprzek sieci docelowych i wykradać poufne dane. Wydaje się również, że używa własnych, zastrzeżonych narzędzi, ponieważ badacze nie zaobserwowali, aby były one używane przez kogokolwiek innego.

Worok wykorzystuje m.in. LSB (least significant bit) encoding, czyli w wolnym tłumaczeniu kodowanie najmniej znaczącego bitu, osadzając małe fragmenty złośliwego kodu w najmniej ważnych bitach pikseli obrazu.

Steganografia – komunikacja realizowana w taki sposób, aby obecność komunikatu nie mogła zostać wykryta – wydaje się być coraz częściej stosowana w cyberprzestępczości. Zagrożenie w podobnym duchu wykryli niedawno specjaliści z Check Point Research. Chodziło o pakiet w opartym na Pythonie repozytorium PyPI, który wykorzystywał obraz do dostarczania malware’u o nazwie apicolor. Atak ten w dużej mierze wykorzystywał GitHub jako metodę dystrybucji.

Zobacz: Filetracker

Z pozoru nieszkodliwy pakiet pobiera obraz z sieci, a następnie instaluje dodatkowe narzędzia, które przetwarzają obraz i uruchamiają wygenerowane dane wejściowe za pomocą polecenia exec.

Cyberzagrożenia stają się coraz bardziej wyrafinowane. Warto pamiętać, aby stosować odpowiednie narzędzia zabezpieczające.

Oryginalne źródło: ZOBACZ
0komentarze
0
Udostępnij na fb
Udostępnij na twitter
Udostępnij na WhatsApp

Oryginalne źródło ZOBACZ

Subskrybuj
Powiadom o

Dodaj kanał RSS

Musisz być zalogowanym aby zaproponować nowy kanal RSS

Dodaj kanał RSS
0 komentarzy
Informacje zwrotne w treści
Wyświetl wszystkie komentarze
Poprzedni artykułZabił 10-latka metalową rurką. Wkrótce wyrok
Następny artykułLiczba ludności na świecie dziś przekroczy 8 miliardów. Co to oznacza dla ludzkości i Ziemi?