Redazione RHC : 12 Novembre 2022 09:38
Un gruppo di minacce identificato come “Workok” nasconde il malware all’interno di immagini PNG per infettare i computer delle vittime con malware di tipo infostealer.
Ciò è stato confermato dai ricercatori di Avast, che si sono basati sui risultati di ESET, il primo a individuare e riferire sull’attività di Worok all’inizio di settembre 2022.
ESET ha avvertito che Worok ha preso di mira vittime di alto profilo, comprese entità governative in Medio Oriente, Sud-est asiatico e Sud Africa, ma la loro visibilità nella catena di attacco del gruppo era limitata.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Il rapporto di Avast si basa su ulteriori artefatti che l’azienda ha catturato dagli attacchi di Workok, confermando le ipotesi di ESET sulla natura dei file PNG e aggiungendo nuove informazioni sul tipo di payload del malware e sul metodo di esfiltrazione dei dati.
Sebbene il metodo utilizzato per violare le reti rimanga sconosciuto, Avast ritiene che Worok utilizzi probabilmente il sideloading DLL per eseguire il loader CRLLoader in memoria.
Ciò si basa su prove provenienti da macchine compromesse, in cui i ricercatori di Avast hanno trovato quattro DLL contenenti il codice CRLLoader.
Successivamente, CRLLoader carica la DLL di seconda fase (PNGLoader), che estrae i byte incorporati nei file PNG e li utilizza per assemblare due eseguibili.
La steganografia nasconde il codice all’interno dei file immagine che appaiono normali quando vengono aperti in un visualizzatore di immagini.
Nel caso di Worok, Avast afferma che gli attori delle minacce hanno utilizzato una tecnica chiamata “least significant bit (LSB) encoding”, che incorpora piccoli frammenti di codice dannoso nei bit meno importanti dei pixel dell’immagine.
Il primo payload estratto da quei bit da PNGLoader è uno script di PowerShell che né ESET né Avast potrebbero recuperare.
Il secondo payload nascosto nei file PNG è un infostealer scritto in C# per Microsoft .NET (DropBoxControl) che abusa del servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altro ancora.
L’immagine PNG contenente il secondo carico utile è la seguente:
Il malware “DropBoxControl” utilizza un account DropBox controllato dall’attore della minaccia per ricevere dati e comandi o caricare file dalla macchina compromessa.
I comandi sono archiviati in file crittografati nel repository DropBox dell’attore delle minacce a cui il malware accede periodicamente per recuperare le azioni in sospeso., come riportato nell’immagine di seguito.
I comandi supportati sono i seguenti:
Queste funzioni indicano che Worok è un gruppo di spionaggio informatico interessato all’esfiltrazione di dati, ai movimenti laterali e allo spionaggio del dispositivo infetto.
Avast commenta che gli strumenti utilizzati dagli attacchi di Workok non circolano molto in rete, quindi sono probabilmente utilizzati esclusivamente dal gruppo di minacce.
Fonte bleepingcomputer
Quanto accaduto in questi giorni deve rappresentare un campanello d’allarme per l’Europa.Mentre il programma CVE — pilastro della sicurezza informatica globale — rischiava ...
Il 16 aprile 2025, Spotify ha subito un’interruzione del servizio che ha colpito numerosi utenti in Italia e nel mondo. A partire dalle ore 14:00, migliaia di segnalazioni sono state re...
Fourlis Group, il gestore dei negozi IKEA in Grecia, Cipro, Romania e Bulgaria, ha dichiarato di aver subito un attacco ransomware prima del Black Friday del 27 novembre 2024, che ha causato...
Noi di Red Hot Cyber lo diciamo da tempo: affidarsi esclusivamente a infrastrutture critiche gestite da enti statunitensi è un rischio per l’autonomia strategica europea. È anni che s...
A partire da poco dopo la mezzanotte del 15 aprile 2025, BreachForums – uno dei principali forum underground – risulta offline sia nella sua versione clearnet che nella controparte su re...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006