En trusselsgruppe, der spores som ‘Worok’, skjuler malware i PNG-billeder for at inficere ofrenes maskiner med informations-stjælende malware uden at slå alarm. Teknikken kaldes for “Steganography”
Dette er blevet bekræftet af forskere ved Avast, der byggede videre på resultaterne af ESET, den første til at spotte og rapportere om Woroks aktivitet i begyndelsen af september 2022.
ESET advarede om, at Worok målrettede mod højt profilerede ofre, herunder regeringsenheder i Mellemøsten, Sydøstasien og Sydafrika, men deres synlighed i gruppens angrebskæde var begrænset.
Avasts rapport er baseret på yderligere artefakter, som virksomheden fangede fra Worok-angreb, bekræfter ESET’s antagelser om PNG-filernes art og tilføjer nye oplysninger om typen af malware-nyttelast og dataeksfiltreringsmetoden.
Skjuler malware i PNG filer
Mens metoden, der bruges til at bryde netværk, forbliver ukendt, mener Avast, at Worok sandsynligvis bruger DLL-sideloading til at udføre CLRLoader-malware-loaderen i hukommelsen.
Dette er baseret på beviser fra kompromitterede maskiner, hvor Avasts forskere fandt fire DLL’er, der indeholdt CLRLoader-koden.
Dernæst indlæser CLRLoader anden trin DLL (PNGLoader), som udtrækker bytes indlejret i PNG-filer og bruger dem til at samle to eksekverbare filer.
Woroks komplette infektionskæde
Kilde: Avast
Skjul nyttelast i PNG’er
Steganografi skjuler kode inde i billedfiler, der ser normale ud, når de åbnes i en billedfremviser.
I tilfælde af Worok siger Avast, at trusselsaktørerne brugte en teknik kaldet “mindst signifikant bit (LSB) kodning”, som integrerer små bidder af den ondsindede kode i de mindst vigtige bits af billedets pixels.
LSB på billedpixels
Kilde: Avast
Den første nyttelast, der udvindes fra disse bits af PNGLoader, er et PowerShell-script, som hverken ESET eller Avast kunne hente.
Den anden nyttelast, der gemmer sig i PNG-filerne, er en brugerdefineret .NET C# info-stealer (DropBoxControl), der misbruger DropBox-filhostingtjenesten til C2-kommunikation, fileksfiltrering og mere.
PNG-billedet, der indeholder den anden nyttelast, er følgende:
En PNG-billedfil, der indeholder info-stjæleren
Kilde: Avast
DropBox-misbrug
Malwaren “DropBoxControl” bruger en aktørstyret DropBox-konto til at modtage data og kommandoer eller uploade filer fra den kompromitterede maskine.
Kommandoerne gemmes i krypterede filer på trusselsaktørens DropBox-lager, som malware får adgang til med jævne mellemrum for at hente afventende handlinger.
Form for DropBox-filer, TaskType er kommando
Kilde: Avast
De understøttede kommandoer er følgende:
- Kør “cmd /c” med de givne parametre
- Start en eksekverbar fil med givne parametre
- Download data fra DropBox til enheden
- Upload data fra enheden til DropBox
- Slet data på offerets system
- Omdøb data på offerets system
- Exfiltrere filoplysninger fra en defineret mappe
- Indstil en ny mappe til bagdøren
- Exfiltrere systemoplysninger
- Opdater bagdørens konfiguration
Disse funktioner indikerer, at Worok er en cyberspionagegruppe, der er interesseret i snigende dataeksfiltrering, lateral bevægelse og spionage på den inficerede enhed.
Avast kommenterer, at de værktøjer, der er samplet fra Worok-angreb, ikke cirkulerer i naturen, så de bruges sandsynligvis udelukkende af trusselsgruppen.
KILDE: Bleebing Computer
Fotokredit: Pixabay og Avast