ClickCease Worok, die Malware, die sich in PNG-Bilddateien versteckt

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Worok, die Malware, die sich in PNG-Bilddateien versteckt

24. November 2022. TuxCare PR Team

Die Worok-Malware macht die Runde, indem sie mehrstufige Malware einsetzt, die darauf abzielt, Daten zu stehlen und hochrangige Opfer wie Regierungsstellen im Nahen Osten, Südostasien und Südafrika zu kompromittieren, während sie Teile der endgültigen Nutzlast in einfachen PNG-Bildern versteckt, ohne Alarm zu schlagen.

Worok nutzt wahrscheinlich das DLL-Sideloading, um den CLRLoader-Malware-Loader im Speicher auszuführen, wie Hinweise auf kompromittierte Computer zeigen. Zunächst wird DLL-Sideloading ausgenutzt, um die CLRLoader-Malware im Speicher auszuführen. Anschließend wird das CLRLoader-Modul zur Ausführung des DLL-Moduls der zweiten Ebene (PNGLoader) verwendet, das bestimmte in PNG-Bilddateien versteckte Bytes extrahiert. Diese Bytes werden verwendet, um zwei ausführbare Dateien zusammenzuführen.

Die erste Nutzlast, die durch diese Methode versteckt wird, ist ein PowerShell-Skript, für das weder ESET noch Avast ein Beispiel hat. Die zweite Nutzlast ist ein benutzerdefiniertes Modul namens DropBoxControl, das Informationen stiehlt und durch eine Hintertür gesteuert wird. Es handelt sich um eine NET C # Routine, die dazu dient, Remote-Befehle von einem kompromittierten Dropbox-Konto zu empfangen.

Die Steganografie-Technik von Worok ist als Least Significant Bit Coding bekannt und versteckt kleine Teile des Schadcodes in den niedrigsten Bits bestimmter Pixel des Bildes, die später wiederhergestellt werden können.

Die Codes dieser Bedrohungsakteure sind als LSB-Kodierung (Least Significant Bit) bekannt. Sie betten kleine Teile des bösartigen Codes in die Pixel des Bildes ein, während sie beim Öffnen in einem Bildbetrachter normal erscheinen.

Die in den PNG-Bildern enthaltene DropBoxControl-Malware unterstützt Befehle wie das Ausführen von "cmd/c" mit den angegebenen Parametern, das Ausführen eines ausführbaren Programms mit den angegebenen Parametern, das Herunterladen von Daten von DropBox auf das Gerät, das Hochladen von Daten vom Gerät auf DropBox, das Löschen von Daten auf dem System des Opfers, das Umbenennen von Daten auf dem System des Opfers, das Exfiltrieren von Dateiinformationen aus einem bestimmten Verzeichnis, das Einrichten eines neuen Backdoor-Verzeichnisses, das Exfiltrieren von Systeminformationen und das Aktualisieren der Backdoor-Konfiguration.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung
Worok, die Malware, die sich in PNG-Bilddateien versteckt
Artikel Name
Worok, die Malware, die sich in PNG-Bilddateien versteckt
Beschreibung
Worok-Malware macht die Runde, indem sie mehrstufige Malware einsetzt, um Daten zu stehlen und hochrangige Opfer zu kompromittieren.
Autor
Name des Herausgebers
TuxCare
Logo des Herausgebers

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter