Support technique
Documentation
Connexion
Nous contacter
Worok, le malware qui se cache dans les fichiers d'image PNG
24 novembre 2022 - L'équipe de relations publiques de TuxCare
Le malware Worok fait le tour du monde en déployant des malwares à plusieurs niveaux conçus pour voler des données et compromettre des victimes de premier plan telles que des entités gouvernementales au Moyen-Orient, en Asie du Sud-Est et en Afrique du Sud, tout en dissimulant des parties de la charge utile finale dans de simples images PNG sans déclencher d'alarme.
Worok utilise probablement le sideloading DLL pour exécuter le chargeur de malware CLRLoader en mémoire, d'après des preuves provenant de machines compromises. Il commence par exploiter le sideloading DLL pour exécuter le malware CLRLoader en mémoire. Ensuite, le module CLRLoader est utilisé pour exécuter le module DLL de second niveau (PNGLoader), qui extrait certains octets cachés dans les fichiers d'image PNG. Ces octets sont utilisés pour fusionner deux fichiers exécutables.
La première charge utile cachée par cette méthode est un script PowerShell pour lequel ni ESET ni Avast n'ont d'exemple. La deuxième charge utile est un module personnalisé appelé DropBoxControl qui vole des informations et est contrôlé par une porte dérobée. Il s'agit d'une routine NET C # conçue pour recevoir des commandes à distance depuis un compte Dropbox compromis.
La technique de stéganographie de Worok est connue sous le nom de codage du bit le moins significatif et cache de petits morceaux de code malveillant dans les bits les plus bas de certains pixels de l'image, qui peuvent être récupérés ultérieurement.
Les codes de ces acteurs de la menace sont connus sous le nom de codage du bit le moins significatif (LSB), et ils intègrent de petits morceaux de code malveillant dans les pixels de l'image tout en paraissant normaux lorsqu'ils sont ouverts dans une visionneuse d'images.
Le malware DropBoxControl inclus dans les images PNG prend en charge des commandes telles que l'exécution de "cmd/c" avec les paramètres donnés, l'exécution d'un programme exécutable avec les paramètres donnés, le téléchargement de données de DropBox vers le dispositif, le téléchargement de données du dispositif vers DropBox, la suppression de données sur le système de la victime, le renommage de données sur le système de la victime, l'exfiltration d'informations sur les fichiers d'un répertoire défini, la création d'un nouveau répertoire de porte dérobée, l'exfiltration d'informations sur le système et la mise à jour de la configuration de la porte dérobée.
Les sources de cet article comprennent un article de BleepingComputer.
