技術支援
文件
登錄
聯繫我們
Worok,隱藏在PNG圖像檔中的惡意軟體
奧班拉·奧佩耶米
實施期間: 2022年11月24 日 - TuxCare專家團隊
Worok 惡意軟體通過部署多級惡意軟體來竊取數據並危害中東、東南亞和南非的政府實體等知名受害者,同時將最終有效載荷的一部分隱藏在簡單的 PNG 圖像中而不會發出警報。
根據來自受感染計算機的證據,Worok 可能使用 DLL 旁載入將 CLRLoader 惡意軟體載入程式執行到記憶體中。它首先利用 DLL 旁載入在記憶體中執行 CLRLoader 惡意軟體。之後,CLRLoader 模組用於執行二級 DLL 模組 (PNGLoader),該模組提取隱藏在 PNG 圖像檔中的某些位元組。這些位元組用於合併兩個可執行檔。
此方法隱藏的第一個有效負載是 PowerShell 腳本,ESET 和 Avast 都沒有示例。第二個有效負載是一個名為DropBoxControl的自定義模組,它竊取資訊並由後門控制。這是一個 NET C# 例程,旨在從受損的Dropbox帳戶接收遠端命令。
Worok的隱寫技術被稱為最低有效位編碼,它將小段惡意代碼隱藏在圖像中某些圖元的最低位中,以後可以恢復。
這些威脅參與者的代碼稱為最低有效位 (LSB) 編碼,它們在圖像的圖元中嵌入了小塊惡意代碼,同時在圖像查看器中打開時看起來正常。
PNG 映射中包含的DropBoxControl 惡意軟體支援以下命令,例如使用給定參數運行“cmd/c”、使用給定參數運行可執行程式、將數據從 Dropbox 下載到設備、將數據從設備上傳到 DropBox、刪除受害者系統上的數據、重命名受害者系統上的數據、從定義的目錄洩露檔資訊、 設置新的後門目錄,洩露系統資訊並更新後門配置。
這篇文章的來源包括 BleepingComputer上的一篇文章。
