Рубрики НовостиСофт

Группа кибершпионов Worok использует файлы PNG для маскировки вредоносного кода — ее целями выступают правительства стран Азии и Африки.

Опубликовал
Андрей Русанов

Исследователи безопасности обнаружили новое вредоносное ПО, основанное на использование стеганографии. Worok представляет собой сложную систему кибершпионажа, отдельные этапы которой до сих пор частично остаются загадкой. Однако конечная цель операции была подтверждена двумя охранными фирмами.

Worok использует многоэтапное вредоносное ПО, предназначенное для кражи данных и компрометации высокопоставленных жертв, используя методы стеганографии, чтобы скрыть части окончательной полезной нагрузки в простом файле изображения PNG. Новое вредоносное ПО было впервые обнаружено ESET в сентябре.

Стеганография – способ передачи или хранения информации, сохраняющий в тайне сам факт передачи или хранения. В отличие от криптографии, которая скрывает содержимое тайного сообщения, стеганография скрывает сам факт его существования. Сообщение при этом выглядит как что-то другое – изображение, любой другой файл или несвязанная публикация. Стеганографию обычно используют совместно с методами криптографии.

ESET описывает Worok как новую группу кибершпионажа, которая использует недокументированные инструменты, в том числе процедуру стеганографии, предназначенную для наполнения вредоносной нагрузкой файлов PNG.

Курс Fullstack Web Development від Mate academy.
Стань універсальним розробником, який може створювати веб-рішення з нуля.
Дізнатись про курс

Операторы Worok нацеливались на высокопоставленных жертв, таких как правительственные учреждения, с особым упором на Ближний Восток, Юго-Восточную Азию и Южную Африку. Знания ESET о цепочке атак были ограничены, но новый анализ от Avast предоставляет дополнительные сведения об этой операции.

В Avast предполагают, что Worok использует сложный многоэтапный дизайн, чтобы скрыть свою деятельность. Метод, используемый для взлома сетей, до сих пор неизвестен; на первом этапе используется скрытая загрузка DLL для выполнения вредоносного ПО CLRLoader в памяти. Затем модуль CLRLoader используется для выполнения модуля DLL второго этапа (PNGLoader), который извлекает определенные байты, скрытые в файлах изображений PNG. Эти байты используются для сборки двух исполняемых файлов.

Метод стеганографии, используемый Worok, известен как кодирование с наименьшими значащими битами. Оно скрывает небольшие части вредоносного кода в «младших битах» — определенных пикселях изображения — которые можно восстановить позже.

Среди замаскированных средств воздействия — сценарий PowerShell, для которого ни ESET, ни Avast пока не удалось получить образец. Также используется специальный модуль для кражи информации и бэкдор под названием DropBoxControl, написанный на .NET C# и предназначенный для получения удаленных команд от скомпрометированной учетной записи Dropbox.

DropBoxControl может выполнять множество потенциально опасных действий, в том числе возможность запускать команду «cmd /c» с заданными параметрами, запускать исполняемые бинарные файлы, загружать данные из Dropbox на зараженное устройство, удалять данные в системе, удалять системную информацию или файлы из определенного каталога и многое другое.

В то время как аналитики все еще собирают все воедино, расследование Avast подтверждает, что Worok — это специальная операция, предназначенная для кражи данных, шпионажа и компрометации жертв высокого уровня в определенных регионах мира.

Источник: TechSpot

Disqus Comments Loading...