De acordo com Bleeping Computador, os hackers do Worok agora estão escondendo malware em imagens PNG para atingir usuários e entidades governamentais no Oriente Médio, Sudeste Asiático e África do Sul. Os hackers estão usando o método de esteganografia.
O malware oculto em um arquivo PNG pode roubar os dados do dispositivo da vítima sem disparar nenhum alarme. Até agora, os pesquisadores da Avast e da ESET confirmaram que os hackers do Worok estão tentando atingir os usuários com malware para roubo de informações. No entanto, as vítimas de alto perfil estão em maior risco. A pesquisa da Avast revela mais detalhes sobre o trabalho dos atacantes do Worok.
Os hackers do Worok escondem malware em arquivos PNG
De acordo com relatório do Avast, os invasores provavelmente estão usando o sideload de DLL para executar o carregador de malware CLRLoader na memória. No entanto, ainda não se sabe quais métodos os hackers usam para violar redes. Esses detalhes são obtidos de dispositivos infectados onde os pesquisadores da Avast encontraram quatro DLLs com código CLRLoader.
Na próxima etapa, o CLRLoader deve carregar uma DLL de segundo estágio (PNGLoader). O PNGLoader extrai bytes embutidos em arquivos PNG para montar executáveis. Tudo parece normal nos visualizadores de imagens, mas aquele arquivo PNG na verdade está roubando dados do aparelho. Esse método é chamado de esteganografia e as vítimas nunca saberão disso.
De acordo com os pesquisadores da Avast, os hackers do Worok estão usando a técnica de codificação”bit menos significativo (LSB)”. Nesta técnica, pequenos pedaços de códigos maliciosos são incorporados nos bits menos importantes dos pixels da imagem.
Existem dois payloads extraídos desses bits pelo PNGLoader, o primeiro é um script PowerShell e o segundo é um ladrão de informações.NET C# personalizado (DropBoxControl). A segunda carga útil abusa do serviço de hospedagem de arquivos DropBox para comunicação C2, exfiltração de arquivos e muito mais. Além disso, o malware DropBoxControl pode receber dados e comandos ou fazer upload de arquivos do dispositivo da vítima por meio de uma conta DropBox controlada pelo ator. Esses comandos são armazenados em arquivos criptografados no repositório DropBox do ator e o malware pode acessá-los periodicamente.
