Des chercheurs ont trouvé des preuves indiquant que de nouveaux cybercriminels utilisent des fichiers PNG pour transmettre des fichiers malveillants.
ESET et Avast ont tous deux confirmé avoir repéré un groupe de pirate répondant au nom de Worok qui utilise cette méthode depuis début septembre 2022.
Apparemment, Worok s'est employé à cibler des victimes de premier plan, telles que des organisations gouvernementales, au Moyen-Orient, en Asie du Sud-Est et en Afrique du Sud.
Une attaque en plusieurs étapes
L'attaque répond un processus en plusieurs étapes, dans lequel les cybercriminels utilisent le sideloading DLL pour exécuter le malware CLRLoader qui, à son tour, charge la DLL PNGLoader, capable de lire le code obscurci caché dans les fichiers PNG.
Ce code se traduit par DropBoxControl, un voleur d'infos personnalisé en .NET C# qui utilise l'hébergement de fichiers Dropbox pour communiquer et voler des données. Ce malware semble prendre en charge de nombreuses commandes, notamment l'exécution de cmd /c, le lancement d'un exécutable, le téléchargement de données vers et depuis Dropbox, la suppression de données depuis les points de terminaison cibles, la création de nouveaux répertoires (pour des charges utiles backdoor supplémentaires) et l'extraction d'informations système.
Des outils originaux
Compte tenu de sa composition, les chercheurs pensent que Worok est l'œuvre d'un groupe de cyberespionnage qui travaille discrètement, aime se déplacer latéralement sur les réseaux cibles et voler des données sensibles. Il semble également qu'il utilise ses propres outils propriétaires, car les chercheurs n'ont pas observé leur utilisation par quelqu'un d'autre.
Worok utilise le "codage des bits les moins significatifs" (LSB), en intégrant de minuscules morceaux de code malveillant dans les bits les moins importants des pixels de l'image.
La stéganographie semble devenir une tactique de plus en plus populaire en matière de cybercriminalité. Dans le même ordre d'idées, des chercheurs de Check Point Research (CPR) ont récemment découvert un paquet malveillant sur le dépôt PyPI basé sur Python qui utilise une image pour diffuser un cheval de Troie malveillant appelé apicolor, utilisant largement GitHub comme méthode de distribution.
Le paquet apparemment bénin télécharge une image à partir du Web, puis installe des outils supplémentaires qui traitent l'image et déclenchent ensuite le traitement de la sortie générée à l'aide de la commande exec.
L'une de ces deux exigences est le code judyb, un module de stéganographie capable de révéler des messages cachés dans les images. Cela a ramené les chercheurs à l'image d'origine qui, en fait, télécharge des paquets malveillants depuis le Web vers le terminal de la victime.
- Meilleurs antivirus 2022 : quelle solution gratuite, premium ou business choisir ?
- Meilleurs antivirus en ligne : quel service de sécurité basé sur le cloud est le plus fiable en 2022 ?
- Les meilleures protections contre les ransomwares en 2022 : quels outils payants ou gratuits choisir ?
Via: BleepingComputer
