PNG 이미지 파일에 숨어 있는 멀웨어, Worok

워록 멀웨어는 데이터를 훔치고 중동, 동남아시아, 남아프리카의 정부 기관과 같은 유명 피해자를 감염시키도록 설계된 다단계 멀웨어를 배포하면서 최종 페이로드의 일부를 경보 없이 간단한 PNG 이미지에 숨기는 방식으로 유포되고 있습니다.

손상된 컴퓨터의 증거에 따르면, Worok은 DLL 사이드 로딩을 사용하여 CLRLoader 멀웨어 로더를 메모리에서 실행하는 것으로 보입니다. 이 공격은 DLL 사이드로드를 악용하여 메모리에서 CLRLoader 멀웨어를 실행하는 것으로 시작됩니다. 그 후, CLRLoader 모듈은 PNG 이미지 파일에 숨겨진 특정 바이트를 추출하는 두 번째 수준의 DLL 모듈(PNGLoader)을 실행하는 데 사용됩니다. 이 바이트는 두 개의 실행 파일을 병합하는 데 사용됩니다.

이 메서드에 의해 숨겨진 첫 번째 페이로드는 ESET 또는 Avast에 예제가 없는 PowerShell 스크립트입니다. 두 번째 페이로드는 정보를 훔치고 백도어에 의해 제어되는 DropBoxControl이라는 사용자 지정 모듈입니다. 이 모듈은 손상된 Dropbox 계정에서 원격 명령을 수신하도록 설계된 NET C # 루틴입니다.

워록의 스테가노그래피 기술은 최하위 비트 코딩으로 알려져 있으며 이미지의 특정 픽셀의 최하위 비트에 작은 악성 코드 조각을 숨겨 나중에 복구할 수 있습니다.

이러한 위협 행위자의 코드는 최하위 비트(LSB) 인코딩으로 알려져 있으며, 이미지 뷰어에서 열었을 때는 정상적으로 보이지만 이미지 픽셀에 작은 악성 코드 덩어리를 삽입합니다.

PNG 이미지에 포함된 DropBoxControl 악성 코드는 지정된 매개 변수로 "cmd/c" 실행, 지정된 매개 변수로 실행 프로그램 실행, DropBox에서 장치로 데이터 다운로드, 장치에서 DropBox로 데이터 업로드, 피해자 시스템의 데이터 삭제, 피해자 시스템의 데이터 이름 변경, 지정된 디렉토리에서 파일 정보 유출, 새 백도어 디렉토리 설정, 시스템 정보 유출, 백도어 구성 업데이트와 같은 명령을 지원합니다.

이 글의 출처는 BleepingComputer의 기사입니다.

요약

기사 이름

PNG 이미지 파일에 숨어 있는 멀웨어, Worok

설명

워록 멀웨어는 데이터를 훔치고 유명 인사들을 감염시키도록 설계된 다단계 멀웨어를 배포하여 널리 퍼지고 있습니다.

작성자

오반라 오페예미

게시자 이름

TuxCare

게시자 로고