Les chercheurs ont trouvé des preuves de nouveaux acteurs de la menace utilisant des fichiers PNG pour fournir des charges utiles malveillantes.
ESET et Avast ont tous deux confirmé avoir vu un acteur menaçant du nom de Worok utiliser cette méthode depuis début septembre 2022.
Apparemment, Worok a été occupé à cibler des victimes de haut niveau, telles que des organisations gouvernementales, à travers le Moyen-Orient, l’Asie du Sud-Est et l’Afrique du Sud.
Attaque en plusieurs étapes
L’attaque est un processus en plusieurs étapes, dans lequel les acteurs de la menace utilisent le chargement latéral de DLL pour exécuter le logiciel malveillant CLRLoader qui, à son tour, charge la DLL PNGLoader, capable de lire le code obscurci se cachant dans les fichiers PNG.
Ce code se traduit par DropBoxControl, un voleur d’informations .NET C# personnalisé qui abuse de l’hébergement de fichiers Dropbox pour la communication et le vol de données. Ce logiciel malveillant semble prendre en charge de nombreuses commandes, notamment l’exécution de cmd /c, le lancement d’un exécutable, le téléchargement et le téléchargement de données vers et depuis Dropbox, la suppression de données des terminaux cibles, la configuration de nouveaux répertoires (pour des charges utiles de porte dérobée supplémentaires) et l’extraction d’informations système.
Compte tenu de sa boîte à outils, les chercheurs pensent que Worok est l’œuvre d’un groupe de cyberespionnage qui travaille discrètement, aime se déplacer latéralement sur les réseaux cibles et voler des données sensibles. Il semble également utiliser ses propres outils propriétaires, car les chercheurs ne les ont pas observés utilisés par quelqu’un d’autre.
Worok utilise « l’encodage du bit le moins significatif (LSB) », incorporant de minuscules morceaux de code malveillant dans les bits les moins importants des pixels de l’image, a-t-on dit.
La stéganographie semble devenir de plus en plus populaire en tant que tactique de cybercriminalité. Dans le même ordre d’idées, des chercheurs de Check Point Research (CPR) ont récemment découvert un package malveillant sur le référentiel basé sur Python PyPI qui utilise une image pour diffuser un logiciel malveillant cheval de Troie. (s’ouvre dans un nouvel onglet) appelé apicolor, utilisant largement GitHub comme méthode de distribution.
Le package apparemment bénin télécharge une image à partir du Web, puis installe des outils supplémentaires qui traitent l’image, puis déclenchent la sortie générée par le traitement à l’aide de la commande exec.
L’une de ces deux exigences est le code judyb, un module de stéganographie capable de révéler des messages cachés dans les images. Cela a ramené les chercheurs à l’image originale qui, il s’avère, télécharge des paquets malveillants du Web vers le terminal de la victime. (s’ouvre dans un nouvel onglet).
Via : BleepingComputer (s’ouvre dans un nouvel onglet)