Utilizzare un file PNG per distribuire malware? La gang Workok sta utilizzando la steganografia

Redazione RHC : 12 Novembre 2022 09:38

Un gruppo di minacce identificato come “Workok” nasconde il malware all’interno di immagini PNG per infettare i computer delle vittime con malware di tipo infostealer.

Ciò è stato confermato dai ricercatori di Avast, che si sono basati sui risultati di ESET, il primo a individuare e riferire sull’attività di Worok all’inizio di settembre 2022.

ESET ha avvertito che  Worok ha preso di mira vittime di alto profilo, comprese entità governative in Medio Oriente, Sud-est asiatico e Sud Africa, ma la loro visibilità nella catena di attacco del gruppo era limitata. 

Il rapporto di Avast si basa su ulteriori artefatti che l’azienda ha catturato dagli attacchi di Workok, confermando le ipotesi di ESET sulla natura dei file PNG e aggiungendo nuove informazioni sul tipo di payload del malware e sul metodo di esfiltrazione dei dati.

Sebbene il metodo utilizzato per violare le reti rimanga sconosciuto, Avast ritiene che Worok utilizzi probabilmente il sideloading DLL per eseguire il loader CRLLoader in memoria.

Ciò si basa su prove provenienti da macchine compromesse, in cui i ricercatori di Avast hanno trovato quattro DLL contenenti il ​​codice CRLLoader.

Successivamente, CRLLoader carica la DLL di seconda fase (PNGLoader), che estrae i byte incorporati nei file PNG e li utilizza per assemblare due eseguibili.

La steganografia nasconde il codice all’interno dei file immagine che appaiono normali quando vengono aperti in un visualizzatore di immagini.

Nel caso di Worok, Avast afferma che gli attori delle minacce hanno utilizzato una tecnica chiamata “least significant bit (LSB) encoding”, che incorpora piccoli frammenti di codice dannoso nei bit meno importanti dei pixel dell’immagine.

Il primo payload estratto da quei bit da PNGLoader è uno script di PowerShell che né ESET né Avast potrebbero recuperare.

Il secondo payload nascosto nei file PNG è un infostealer scritto in C# per Microsoft .NET (DropBoxControl) che abusa del servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altro ancora.

L’immagine PNG contenente il secondo carico utile è la seguente:

Il malware “DropBoxControl” utilizza un account DropBox controllato dall’attore della minaccia per ricevere dati e comandi o caricare file dalla macchina compromessa.

I comandi sono archiviati in file crittografati nel repository DropBox dell’attore delle minacce a cui il malware accede periodicamente per recuperare le azioni in sospeso., come riportato nell’immagine di seguito.

I comandi supportati sono i seguenti:

• Esegui “cmd /c” con i parametri indicati
• Avvia un eseguibile con determinati parametri
• Scarica i dati da DropBox sul dispositivo
• Carica i dati dal dispositivo su DropBox
• Elimina i dati sul sistema della vittima
• Rinominare i dati sul sistema della vittima
• Esfiltrare le informazioni da una directory definita
• Impostare una nuova directory per inserire una backdoor
• Esfiltrare le informazioni di sistema
• Aggiornare la configurazione della backdoor

Queste funzioni indicano che Worok è un gruppo di spionaggio informatico interessato all’esfiltrazione di dati, ai movimenti laterali e allo spionaggio del dispositivo infetto.

Avast commenta che gli strumenti utilizzati dagli attacchi di Workok non circolano molto in rete, quindi sono probabilmente utilizzati esclusivamente dal gruppo di minacce.

Fonte bleepingcomputer