وجد الباحثون دليلاً على وجود جهات تهديد جديدة تستخدم ملفات PNG لتوصيل حمولات ضارة.
أكد كل من ESET و Avast رؤية ممثل تهديد باسم Worok باستخدام هذه الطريقة منذ أوائل سبتمبر 2022.
على ما يبدو، كانت Worok مشغولة في استهداف الضحايا البارزين، مثل المنظمات الحكومية، في جميع أنحاء الشرق الأوسط وجنوب شرق آسيا وجنوب إفريقيا.
أكد كل من ESET و Avast رؤية ممثل تهديد باسم Worok باستخدام هذه الطريقة منذ أوائل سبتمبر 2022.
على ما يبدو، كانت Worok مشغولة في استهداف الضحايا البارزين، مثل المنظمات الحكومية، في جميع أنحاء الشرق الأوسط وجنوب شرق آسيا وجنوب إفريقيا.
هجوم متعدد المراحل
الهجوم عبارة عن عملية متعددة المراحل، حيث يستخدم المهاجمون تحميل DLL الجانبي لتنفيذ البرنامج الضار CLRLoader والذي بدوره يقوم بتحميل PNGLoader DLL، القادر على قراءة التعليمات البرمجية المبهمة المخبأة في ملفات PNG.
يُترجم هذا الرمز إلى DropBoxControl، وهو برنامج مخصص لـ .NET C # infostealer يسيء استخدام استضافة ملف Dropbox للاتصال وسرقة البيانات. يبدو أن هذه البرامج الضارة تدعم العديد من الأوامر، بما في ذلك تشغيل cmd / c، وبدء تشغيل ملف تنفيذي، وتنزيل وتحميل البيانات من وإلى Dropbox، وحذف البيانات من نقاط النهاية المستهدفة، وإعداد أدلة جديدة (لحمولات الباب الخلفي الإضافية)، واستخراج معلومات النظام.
الأدوات الأصلية
نظرًا لمجموعة أدواتها، يعتقد الباحثون أن Worok هي عمل مجموعة تجسس إلكتروني تعمل بهدوء، وتحب التحرك بشكل جانبي عبر الشبكات المستهدفة، وسرقة البيانات الحساسة. يبدو أيضًا أنها تستخدم أدواتها الخاصة، حيث لم يلاحظ الباحثون استخدامها من قبل أي شخص آخر.
يستخدم Worok "ترميز البت الأقل أهمية (LSB) Least Significant Bit"، حيث يقوم بتضمين أجزاء صغيرة من الشفرات الضارة في الأجزاء الأقل أهمية من وحدات البكسل في الصورة، كما قيل.
يبدو أن علم إخفاء المعلومات يزداد شعبية باعتباره أحد أساليب الجرائم الإلكترونية. في سياق مماثل، وجد باحثون من Check Point Research (CPR) مؤخرًا حزمة ضارة في مستودع PyPI المستند إلى Python والذي يستخدم صورة لتقديم برنامج ضار من نوع Trojan يسمى apicolor، ويستخدم إلى حد كبير GitHub كطريقة توزيع.
تقوم الحزمة التي تبدو حميدة بتنزيل صورة من الويب، ثم تقوم بتثبيت أدوات إضافية تعالج الصورة، ثم تقوم بتشغيل الإخراج الناتج عن المعالجة باستخدام الأمر exec.
أحد هذين المطلبين هو كود judyb، وهو وحدة إخفاء المعلومات قادرة على الكشف عن الرسائل المخفية داخل الصور. أدى ذلك بالباحثين إلى العودة إلى الصورة الأصلية التي تبين أنها تقوم بتنزيل حزم ضارة من الويب إلى نقطة نهاية الضحية.