Utilizzare un file PNG per distribuire malware? La gang Workok sta utilizzando la steganografia

Redazione RHC : 12 Novembre 2022 09:38

Un gruppo di minacce identificato come “Workok” nasconde il malware all’interno di immagini PNG per infettare i computer delle vittime con malware di tipo infostealer.

Ciò è stato confermato dai ricercatori di Avast, che si sono basati sui risultati di ESET, il primo a individuare e riferire sull’attività di Worok all’inizio di settembre 2022.

ESET ha avvertito che  Worok ha preso di mira vittime di alto profilo, comprese entità governative in Medio Oriente, Sud-est asiatico e Sud Africa, ma la loro visibilità nella catena di attacco del gruppo era limitata. 

Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference.  Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.  Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale.  Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Il rapporto di Avast si basa su ulteriori artefatti che l’azienda ha catturato dagli attacchi di Workok, confermando le ipotesi di ESET sulla natura dei file PNG e aggiungendo nuove informazioni sul tipo di payload del malware e sul metodo di esfiltrazione dei dati.

Sebbene il metodo utilizzato per violare le reti rimanga sconosciuto, Avast ritiene che Worok utilizzi probabilmente il sideloading DLL per eseguire il loader CRLLoader in memoria.

Ciò si basa su prove provenienti da macchine compromesse, in cui i ricercatori di Avast hanno trovato quattro DLL contenenti il ​​codice CRLLoader.

Successivamente, CRLLoader carica la DLL di seconda fase (PNGLoader), che estrae i byte incorporati nei file PNG e li utilizza per assemblare due eseguibili.

La steganografia nasconde il codice all’interno dei file immagine che appaiono normali quando vengono aperti in un visualizzatore di immagini.

Nel caso di Worok, Avast afferma che gli attori delle minacce hanno utilizzato una tecnica chiamata “least significant bit (LSB) encoding”, che incorpora piccoli frammenti di codice dannoso nei bit meno importanti dei pixel dell’immagine.

Il primo payload estratto da quei bit da PNGLoader è uno script di PowerShell che né ESET né Avast potrebbero recuperare.

Il secondo payload nascosto nei file PNG è un infostealer scritto in C# per Microsoft .NET (DropBoxControl) che abusa del servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altro ancora.

L’immagine PNG contenente il secondo carico utile è la seguente:

Il malware “DropBoxControl” utilizza un account DropBox controllato dall’attore della minaccia per ricevere dati e comandi o caricare file dalla macchina compromessa.

I comandi sono archiviati in file crittografati nel repository DropBox dell’attore delle minacce a cui il malware accede periodicamente per recuperare le azioni in sospeso., come riportato nell’immagine di seguito.

I comandi supportati sono i seguenti:

• Esegui “cmd /c” con i parametri indicati
• Avvia un eseguibile con determinati parametri
• Scarica i dati da DropBox sul dispositivo
• Carica i dati dal dispositivo su DropBox
• Elimina i dati sul sistema della vittima
• Rinominare i dati sul sistema della vittima
• Esfiltrare le informazioni da una directory definita
• Impostare una nuova directory per inserire una backdoor
• Esfiltrare le informazioni di sistema
• Aggiornare la configurazione della backdoor

Queste funzioni indicano che Worok è un gruppo di spionaggio informatico interessato all’esfiltrazione di dati, ai movimenti laterali e allo spionaggio del dispositivo infetto.

Avast commenta che gli strumenti utilizzati dagli attacchi di Workok non circolano molto in rete, quindi sono probabilmente utilizzati esclusivamente dal gruppo di minacce.

Fonte bleepingcomputer

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli