Los investigadores han encontrado evidencia de nuevos actores de amenazas que usan archivos PNG para entregar cargas maliciosas.
Tanto ESET como Avast han confirmado haber visto a un actor de amenazas con el nombre de Worok usando este método desde principios de septiembre de 2022.
Aparentemente, Worok ha estado ocupado apuntando a víctimas de alto perfil, como organizaciones gubernamentales, en todo el Medio Oriente, el sudeste asiático y Sudáfrica.
Ataque de varias etapas
El ataque es un proceso de varias etapas, en el que los actores de la amenaza usan la carga lateral de DLL para ejecutar el malware CLRLoader que, a su vez, carga la DLL PNGLoader, capaz de leer código ofuscado escondido en archivos PNG.
Ese código se traduce en DropBoxControl, un ladrón de información personalizado de .NET C# que abusa del alojamiento de archivos de Dropbox para la comunicación y el robo de datos. Este malware parece admitir numerosos comandos, incluida la ejecución de cmd /c, el lanzamiento de un ejecutable, la descarga y carga de datos hacia y desde Dropbox, la eliminación de datos de los puntos finales de destino, la configuración de nuevos directorios (para cargas útiles adicionales de puerta trasera) y la extracción de información del sistema.
Dado su conjunto de herramientas, los investigadores creen que Worok es el trabajo de un grupo de ciberespionaje que trabaja en silencio, le gusta moverse lateralmente a través de las redes de destino y robar datos confidenciales. También parece estar utilizando sus propias herramientas patentadas, ya que los investigadores no han observado que nadie más las esté utilizando.
Worok usa «codificación de bits menos significativos (LSB)», incrustando pequeñas piezas de código malicioso en los bits menos importantes de los píxeles de la imagen, se dijo.
La esteganografía parece ser cada vez más popular como táctica de ciberdelincuencia. En una línea similar, los investigadores de Check Point Research (CPR) encontraron recientemente un paquete malicioso en el repositorio PyPI basado en Python que usa una imagen para entregar un malware troyano. (se abre en una pestaña nueva) llamado apicolor, utilizando en gran medida GitHub como método de distribución.
El paquete aparentemente benigno descarga una imagen de la web y luego instala herramientas adicionales que procesan la imagen y luego activan la salida generada por el procesamiento usando el comando exec.
Uno de esos dos requisitos es el código judyb, un módulo de esteganografía capaz de revelar mensajes ocultos dentro de las imágenes. Eso llevó a los investigadores de vuelta a la imagen original que, al parecer, descarga paquetes maliciosos de la web al terminal de la víctima. (se abre en una pestaña nueva).
Vía: BleepingComputer (se abre en una pestaña nueva)