'Worok' olarak izlenen bir tehdit grubu, kurbanların makinelerini alarm oluşturmadan bilgi çalan kötü amaçlı yazılımlarla enfekte etmek için PNG görüntüleri içinde kötü amaçlı yazılımları gizler.
Bu, Eylül 2022'nin başlarında Worok'un faaliyeti hakkında ilk tespit eden ve rapor eden ESET'in bulguları üzerine inşa edilen Avast'taki araştırmacılar tarafından doğrulandı.
ESET, Worok'un Orta Doğu, Güneydoğu Asya ve Güney Afrika'daki devlet kuruluşları da dahil olmak üzere yüksek profilli kurbanları hedeflediği konusunda uyardı, ancak grubun saldırı zincirine görünürlükleri sınırlıydı.
Avast'ın raporu, ESET'in PNG dosyalarının doğası hakkındaki varsayımlarını teyit ederek ve kötü amaçlı yazılım yüklerinin türü ve veri ekleme yöntemi hakkında yeni bilgiler ekleyerek, Worok saldırılarından yakalanan ek eserlere dayanmaktadır.
Ağları ihlal etmek için kullanılan yöntem bilinmemekle birlikte, Avast Worok'un Clrloader kötü amaçlı yazılım yükleyicisini belleğe yürütmek için DLL sideloading kullandığına inanıyor.
Bu, Avast'ın araştırmacılarının Clrloader kodunu içeren dört DLL bulduğu tehlikeye atılmış makinelerin kanıtlarına dayanmaktadır.
Ardından, Clrloader, PNG dosyalarına gömülü baytları çıkaran ve bunları iki yürütülebilir dosyaları bir araya getirmek için kullanan ikinci aşama DLL'yi (PNGloader) yükler.
Steganografi, bir görüntü görüntüleyicisinde açıldığında normal görünen görüntü dosyalarının içindeki kodu gizler.
Worok durumunda Avast, tehdit aktörlerinin, görüntünün piksellerinin en az önemli bitlerine kötü amaçlı kodun küçük parçalarını gömen "en az önemli bit (LSB) kodlama" adlı bir teknik kullandığını söylüyor.
PNGloader tarafından bu bitlerden çıkarılan ilk yük, ne ESET ne de Avast'ın alamayacağı bir PowerShell komut dosyasıdır.
PNG dosyalarında saklanan ikinci yük, C2 iletişimi, dosya eksfiltrasyonu ve daha fazlası için Dropbox dosyası barındırma hizmetini kötüye kullanan bir özel .NET C# Info-Stealer (DropboxControl).
İkinci yükü içeren PNG görüntüsü şunlardır:
'DropboxControl' kötü amaçlı yazılım, veri ve komutlar almak veya tehlikeye atılan makineden dosya yüklemek için aktör kontrollü bir Dropbox hesabı kullanır.
Komutlar, Tehdit Oyuncunun Dropbox deposundaki şifrelenmiş dosyalarda saklanır.
Desteklenen komutlar şunlardır:
Bu işlevler, Worok'un gizli veri pessfiltrasyonu, yanal hareket ve enfekte olmuş cihazda casusluk ile ilgilenen bir siber başlık grubu olduğunu göstermektedir.
Avast, Worok saldırılarından örneklenen araçların vahşi doğada dolaşmadığını, bu yüzden muhtemelen sadece tehdit grubu tarafından kullanıldığını söylüyor.
Typosquat Kampanyası 27 markayı Windows, Android kötü amaçlı yazılım için taklit ediyor
Yeni PHP Bilgi Çalma Kötü Yazılım Facebook hesaplarını hedefliyor
Hacking Group, Windows Logo Resim İçinde Arka Kapı Kötü Yazılım Geridir
Microsoft: Lazarus Hacker'ları açık kaynaklı yazılımı silahlandırıyor
Yeni Erbium şifre çalan kötü amaçlı yazılımlar oyun çatlakları, hileler olarak yayılır
Kaynak: Bleeping Computer