Злоумышленник под ником Workok скрывает вредоносное ПО в файлах PNG

Исследователи обнаружили доказательства того, что хакеры используют файлы PNG для доставки вредоносных программ.

Злоумышленник под ником Workok скрывает вредоносное ПО в файлах PNG. Фото: СС0

Представители компаний ESET и Avast подтвердили, что с начала сентября 2022 года хакер под спевдонимом Workok использует этот метод.

Атака представляет собой многоэтапный процесс, в котором преступники используют неопубликованную загрузку DLL для выполнения вредоносного ПО CLRLoader. Оно, в свою очередь, загружает DLL PNGLoader, способную считывать запутанный код, скрывающийся в файлах PNG.

Этот код транслируется в DropBoxControl, специализированный похититель информации .NET C#, который злоупотребляет файловым хостингом Dropbox для связи и кражи данных. Вредоносное ПО поддерживает множество команд, в том числе запуск cmd /c, запуск исполняемого файла, загрузку и загрузку данных в Dropbox и из него, удаление данных с целевых конечных точек, настройку новых каталогов (для дополнительных полезных нагрузок бэкдора) и извлечение системной информации.

Учитывая его инструментарий, исследователи полагают, что Worok — это работа группы кибершпионажа, которая работает тихо, любит перемещаться по целевым сетям и красть конфиденциальные данные. Похоже, что она также использует свои собственные проприетарные инструменты, поскольку исследователи не наблюдали их использования кем-либо еще.

Как сообщается, Worok использует «кодировку наименее значимых битов (LSB)», встраивая крошечные фрагменты вредоносного кода в наименее важные биты пикселей изображения.

Стеганография становится все более популярной в качестве тактики киберпреступности. Аналогичным образом исследователи из Check Point Research (CPR) недавно обнаружили вредоносный пакет в репозитории PyPI на основе Python , который использует образ для доставки троянской программы. ПО под названием apicolor, в основном используя GitHub в качестве метода распространения.

На первый взгляд безобидный пакет загружает изображение из Интернета, а затем устанавливает дополнительные инструменты, которые обрабатывают изображение, а затем запускают обработку сгенерированного вывода с помощью команды exec.

Одним из этих двух требований является код judyb, модуль стеганографии, способный обнаруживать скрытые сообщения в изображениях. Это привело исследователей к исходной картинке, которая, как оказалось, загружает вредоносные пакеты из Интернета на компьютер жертвы. конечную точку жертвы..

Startpack подготовил перечень антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме

Упомянутые сервисы

Avast Antivirus Антивирусная программа, предлагающая пользователям 3 варианта уровня защиты, включая бесплатный базовый, а также ряд утилит для производительности и конфиденциальности.

Антивирусная программа, предлагающая пользователям 3 варианта уровня защиты, включая бесплатный базовый, а также ряд утилит для производительности и конфиденциальности.