Les chercheurs ont trouvé des preuves de nouveaux acteurs de la menace utilisant des fichiers PNG pour fournir des charges utiles malveillantes.
ESET et Avast ont confirmé avoir vu un acteur malveillant nommé Worok utiliser cette méthode depuis début septembre 2022.
Worok a apparemment été occupé à cibler des victimes de haut niveau, telles que des organisations gouvernementales, à travers le Moyen-Orient, l'Asie du Sud-Est et l'Afrique du Sud.
attaque en plusieurs étapes
L'attaque est un processus en plusieurs étapes, dans lequel les acteurs de la menace utilisent le chargement latéral de DLL pour exécuter le logiciel malveillant CRLLoader, qui à son tour charge la DLL PNGLoader, capable de lire le code obscurci caché dans les fichiers PNG.
Ce code se traduit par DropBoxControl, un voleur d'informations .NET C# personnalisé qui abuse de l'hébergement de fichiers Dropbox pour la communication et le vol de données. Ce logiciel malveillant semble prendre en charge de nombreuses commandes, notamment l'exécution de cmd /c, le lancement d'un exécutable, le téléchargement de données vers et depuis Dropbox, la suppression de données des appareils cibles, la définition de nouveaux répertoires (pour les téléchargements de portes dérobées supplémentaires) et l'extraction d'informations du système.
Compte tenu de sa boîte à outils, les chercheurs pensent que Worok est l'œuvre d'un groupe de cyberespionnage qui travaille discrètement, aime se déplacer latéralement pour cibler les réseaux et voler des données sensibles. Il semble également utiliser ses propres outils propriétaires, car les chercheurs n'ont observé personne d'autre les utiliser.
Worok utilise le "codage des bits les moins significatifs (LSB)", intégrant de petits bits de code malveillant dans les bits les moins significatifs des pixels de l'image, a-t-on déclaré.
La stéganographie semble devenir de plus en plus populaire en tant que tactique de cybercriminalité. De même, des chercheurs de Check Point Research (CPR) ont récemment découvert un package malveillant dans le référentiel PyPI basé sur Python qui utilise une image pour diffuser un logiciel malveillant cheval de Troie (ouvre dans un nouvel onglet) appelé apicolor, qui est largement utilisé GitHub comme distribution. méthode.
Le package apparemment bénin télécharge une image à partir du Web, puis installe des outils supplémentaires qui traitent l'image, puis déclenche la sortie du traitement à l'aide de la commande exec.
L'une de ces deux exigences est le code judyb, un module de stéganographie capable de révéler des messages cachés dans les images. Cela a conduit les chercheurs à l'image d'origine, qui s'avère télécharger des packages malveillants du Web vers le terminal de la victime (s'ouvre dans un nouvel onglet).
Via : BleepingComputer (Ouvre dans un nouvel onglet)