Worok, die Malware, die sich in PNG-Bilddateien versteckt

Die Worok-Malware macht die Runde, indem sie mehrstufige Malware einsetzt, die darauf abzielt, Daten zu stehlen und hochrangige Opfer wie Regierungsstellen im Nahen Osten, Südostasien und Südafrika zu kompromittieren, während sie Teile der endgültigen Nutzlast in einfachen PNG-Bildern versteckt, ohne Alarm zu schlagen.

Worok nutzt wahrscheinlich das DLL-Sideloading, um den CLRLoader-Malware-Loader im Speicher auszuführen, wie Hinweise auf kompromittierte Computer zeigen. Zunächst wird DLL-Sideloading ausgenutzt, um die CLRLoader-Malware im Speicher auszuführen. Anschließend wird das CLRLoader-Modul zur Ausführung des DLL-Moduls der zweiten Ebene (PNGLoader) verwendet, das bestimmte in PNG-Bilddateien versteckte Bytes extrahiert. Diese Bytes werden verwendet, um zwei ausführbare Dateien zusammenzuführen.

Die erste Nutzlast, die durch diese Methode versteckt wird, ist ein PowerShell-Skript, für das weder ESET noch Avast ein Beispiel hat. Die zweite Nutzlast ist ein benutzerdefiniertes Modul namens DropBoxControl, das Informationen stiehlt und durch eine Hintertür gesteuert wird. Es handelt sich um eine NET C # Routine, die dazu dient, Remote-Befehle von einem kompromittierten Dropbox-Konto zu empfangen.

Die Steganografie-Technik von Worok ist als Least Significant Bit Coding bekannt und versteckt kleine Teile des Schadcodes in den niedrigsten Bits bestimmter Pixel des Bildes, die später wiederhergestellt werden können.

Die Codes dieser Bedrohungsakteure sind als LSB-Kodierung (Least Significant Bit) bekannt. Sie betten kleine Teile des bösartigen Codes in die Pixel des Bildes ein, während sie beim Öffnen in einem Bildbetrachter normal erscheinen.

Die in den PNG-Bildern enthaltene DropBoxControl-Malware unterstützt Befehle wie das Ausführen von "cmd/c" mit den angegebenen Parametern, das Ausführen eines ausführbaren Programms mit den angegebenen Parametern, das Herunterladen von Daten von DropBox auf das Gerät, das Hochladen von Daten vom Gerät auf DropBox, das Löschen von Daten auf dem System des Opfers, das Umbenennen von Daten auf dem System des Opfers, das Exfiltrieren von Dateiinformationen aus einem bestimmten Verzeichnis, das Einrichten eines neuen Backdoor-Verzeichnisses, das Exfiltrieren von Systeminformationen und das Aktualisieren der Backdoor-Konfiguration.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung

Artikel Name

Worok, die Malware, die sich in PNG-Bilddateien versteckt

Beschreibung

Worok-Malware macht die Runde, indem sie mehrstufige Malware einsetzt, um Daten zu stehlen und hochrangige Opfer zu kompromittieren.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers