Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Worok, el malware que se esconde en archivos de imagen PNG
24 de noviembre de 2022 - Equipo de relaciones públicas de TuxCare
El malware Worok realiza rondas desplegando malware multinivel diseñado para robar datos y comprometer a víctimas de alto perfil, como entidades gubernamentales de Oriente Medio, el Sudeste Asiático y Sudáfrica, al tiempo que oculta partes de la carga útil final en simples imágenes PNG sin hacer saltar las alarmas.
Worok probablemente utiliza DLL sideloading para ejecutar el cargador de malware CLRLoader en la memoria, de acuerdo con la evidencia de las máquinas comprometidas. Comienza explotando DLL sideloading para ejecutar el malware CLRLoader en memoria. Después, el módulo CLRLoader se utiliza para ejecutar el módulo DLL de segundo nivel (PNGLoader), que extrae determinados bytes ocultos en archivos de imagen PNG. Estos bytes se utilizan para fusionar dos archivos ejecutables.
La primera carga útil que se oculta mediante este método es un script de PowerShell para el que ni ESET ni Avast tienen un ejemplo. La segunda carga útil es un módulo personalizado llamado DropBoxControl que roba información y está controlado por una puerta trasera. Se trata de una rutina NET C # diseñada para recibir comandos remotos desde una cuenta de Dropbox comprometida.
La técnica de esteganografía de Worok se conoce como codificación de bits menos significativos y oculta pequeños fragmentos de código malicioso en los bits más bajos de determinados píxeles de la imagen, que pueden recuperarse posteriormente.
Los códigos de estos actores de amenazas se conocen como codificación de bits menos significativos (LSB), e incrustan pequeños trozos de código malicioso en los píxeles de la imagen mientras parecen normales cuando se abren en un visor de imágenes.
El malware DropBoxControl incluido en las imágenes PNG admite comandos como ejecutar "cmd/c" con los parámetros indicados, ejecutar un programa ejecutable con los parámetros indicados, descargar datos de DropBox al dispositivo, cargar datos del dispositivo a DropBox, eliminar datos del sistema de la víctima, cambiar el nombre de los datos del sistema de la víctima, extraer información de archivos de un directorio definido, configurar un nuevo directorio de puerta trasera, extraer información del sistema y actualizar la configuración de la puerta trasera.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
