ClickCease PNG 이미지 파일에 숨어 있는 멀웨어, Worok

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

PNG 이미지 파일에 숨어 있는 멀웨어, Worok

2022년 11월 24일 TuxCare 홍보팀

워록 멀웨어는 데이터를 훔치고 중동, 동남아시아, 남아프리카의 정부 기관과 같은 유명 피해자를 감염시키도록 설계된 다단계 멀웨어를 배포하면서 최종 페이로드의 일부를 경보 없이 간단한 PNG 이미지에 숨기는 방식으로 유포되고 있습니다.

손상된 컴퓨터의 증거에 따르면, Worok은 DLL 사이드 로딩을 사용하여 CLRLoader 멀웨어 로더를 메모리에서 실행하는 것으로 보입니다. 이 공격은 DLL 사이드로드를 악용하여 메모리에서 CLRLoader 멀웨어를 실행하는 것으로 시작됩니다. 그 후, CLRLoader 모듈은 PNG 이미지 파일에 숨겨진 특정 바이트를 추출하는 두 번째 수준의 DLL 모듈(PNGLoader)을 실행하는 데 사용됩니다. 이 바이트는 두 개의 실행 파일을 병합하는 데 사용됩니다.

이 메서드에 의해 숨겨진 첫 번째 페이로드는 ESET 또는 Avast에 예제가 없는 PowerShell 스크립트입니다. 두 번째 페이로드는 정보를 훔치고 백도어에 의해 제어되는 DropBoxControl이라는 사용자 지정 모듈입니다. 이 모듈은 손상된 Dropbox 계정에서 원격 명령을 수신하도록 설계된 NET C # 루틴입니다.

워록의 스테가노그래피 기술은 최하위 비트 코딩으로 알려져 있으며 이미지의 특정 픽셀의 최하위 비트에 작은 악성 코드 조각을 숨겨 나중에 복구할 수 있습니다.

이러한 위협 행위자의 코드는 최하위 비트(LSB) 인코딩으로 알려져 있으며, 이미지 뷰어에서 열었을 때는 정상적으로 보이지만 이미지 픽셀에 작은 악성 코드 덩어리를 삽입합니다.

PNG 이미지에 포함된 DropBoxControl 악성 코드는 지정된 매개 변수로 "cmd/c" 실행, 지정된 매개 변수로 실행 프로그램 실행, DropBox에서 장치로 데이터 다운로드, 장치에서 DropBox로 데이터 업로드, 피해자 시스템의 데이터 삭제, 피해자 시스템의 데이터 이름 변경, 지정된 디렉토리에서 파일 정보 유출, 새 백도어 디렉토리 설정, 시스템 정보 유출, 백도어 구성 업데이트와 같은 명령을 지원합니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약
PNG 이미지 파일에 숨어 있는 멀웨어, Worok
기사 이름
PNG 이미지 파일에 숨어 있는 멀웨어, Worok
설명
워록 멀웨어는 데이터를 훔치고 유명 인사들을 감염시키도록 설계된 다단계 멀웨어를 배포하여 널리 퍼지고 있습니다.
작성자
게시자 이름
TuxCare
게시자 로고

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기