Дослідники безпеки виявили нове шкідливе програмне забезпечення, засноване на використання стеганографії. Worok є складною системою кібершпигунства, окремі етапи якої досі частково залишаються загадкою. Проте кінцеву мету операції було підтверджено двома охоронними фірмами.
Worok використовує багатоетапне шкідливе програмне забезпечення, призначене для крадіжки даних та компрометації високопоставлених жертв, використовуючи методи стеганографії, щоб приховати шкідливий код у простому файлі зображення PNG. Нове шкідливе програмне забезпечення було вперше виявлено ESET у вересні.
Стеганографія – спосіб передачі чи зберігання інформації, що зберігає в таємниці сам факт передачі чи зберігання. На відміну від криптографії, що приховує вміст таємного повідомлення, стеганографія приховує факт його існування. Повідомлення виглядає як щось інше – зображення, будь-який інший файл або незв’язана публікація. Стеганографію зазвичай використовують разом із методами криптографії.
ESET описує Worok як нову групу кібершпигунства, яка використовує недокументовані інструменти, у тому числі процедуру стеганографії, призначену для наповнення шкідливим навантаженням файлів PNG.
Оператори Worok націлювалися на високопосадовців, таких як урядові установи, з особливим фокусом на Близький Схід, Південно-Східну Азію та Південну Африку. Знання ESET про ланцюжок атак були обмежені, але новий аналіз від Avast надає додаткові відомості про цю операцію.
У Avast припускають, що Worok використовує складний багатоетапний дизайн, щоб приховати свою діяльність. Метод, який використовується для злому мереж, досі невідомий. У першому етапі використовується приховане завантаження DLL до виконання шкідливого ПЗ CLRLoader у пам’яті. Потім модуль CLRLoader використовується виконання модуля DLL другого етапу (PNGLoader), який витягує певні байти, приховані у файлах зображень PNG. Ці байти використовуються для збирання двох виконуваних файлів.
Метод стеганографії, що використовується Worok, відомий як кодування з найменшими бітами. Воно приховує невеликі частини шкідливого коду в “молодших бітах” – певних пікселях зображення, які можна відновити пізніше.
Серед замаскованих засобів впливу – сценарій PowerShell, для якого ні ESET, ні Avast поки що не вдалося отримати зразок. Також використовується спеціальний модуль для крадіжки інформації та бекдор під назвою DropBoxControl, написаний на .NET C# і призначений для отримання віддалених команд від скомпрометованого облікового запису Dropbox.
DropBoxControl може виконувати безліч потенційно небезпечних дій, у тому числі можливість запускати команду «cmd /c» із заданими параметрами, запускати бінарні файли, що виконуються, завантажувати дані з Dropbox на заражений пристрій, видаляти дані в системі, видаляти системну інформацію або файли з певного каталогу і багато іншого.
У той час як аналітики все ще збирають все докупи, розслідування Avast підтверджує, що Worok – це спеціальна операція з викрадання даних, шпигунства і компрометації жертв високого рівня в певних регіонах світу.
Джерело: TechSpot