Злоумышленник под ником Workok скрывает вредоносное ПО в файлах PNG
Злоумышленник под ником Workok скрывает вредоносное ПО в файлах PNG. Фото: СС0
Представители компаний ESET и Avast подтвердили, что с начала сентября 2022 года хакер под спевдонимом Workok использует этот метод.
Атака представляет собой многоэтапный процесс, в котором преступники используют неопубликованную загрузку DLL для выполнения вредоносного ПО CLRLoader. Оно, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, скрывающийся в файлах PNG.
Этот код транслируется в DropBoxControl, специализированный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и загрузку данных в Dropbox и из него, удаление данных с целевых конечных точек, настройку новых каталогов (для дополнительных полезных нагрузок бэкдора) и извлечение системной информации.
Учитывая его инструментарий, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться по целевым сетям и красть конфиденциальные данные. Похоже, что она также использует свои собственные проприетарные инструменты, поскольку исследователи не наблюдали их использования кем-либо еще.
Как сообщается, Worok использует «кодировку наименее значимых битов (LSB)», встраивая крошечные фрагменты вредоносного кода в наименее важные биты пикселей изображения.
Стеганография становится все более популярной в качестве тактики киберпреступности. Аналогичным образом исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет в репозитории PyPI на основе Python , который использует образ для доставки троянской программы. ПО под названием apicolor, в основном используя GitHub в качестве метода распространения.
На первый взгляд безобидный пакет загружает изображение из Интернета, а затем устанавливает дополнительные инструменты, которые обрабатывают изображение, а затем запускают обработку сгенерированного вывода с помощью команды exec.
Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходной картинке, которая, как оказалось, загружает вредоносные пакеты из Интернета на компьютер жертвы. конечную точку жертвы..
Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было