De plus en plus de logiciels malveillants se cachent dans les images PNG, alors faites attention

Cadenas rouge ouvert sur un réseau de circuits électriques sur fond rouge foncé
(Crédit photo: Shutterstock/Chor muang)

Des chercheurs ont trouvé des preuves indiquant que de nouveaux cybercriminels utilisent des fichiers PNG pour transmettre des fichiers malveillants.

ESET et Avast ont tous deux confirmé avoir repéré un groupe de pirate répondant au nom de Worok qui utilise cette méthode depuis début septembre 2022.

Apparemment, Worok s'est employé à cibler des victimes de premier plan, telles que des organisations gouvernementales, au Moyen-Orient, en Asie du Sud-Est et en Afrique du Sud. 

Une attaque en plusieurs étapes

L'attaque répond un processus en plusieurs étapes, dans lequel les cybercriminels utilisent le sideloading DLL pour exécuter le malware CLRLoader qui, à son tour, charge la DLL PNGLoader, capable de lire le code obscurci caché dans les fichiers PNG. 

Ce code se traduit par DropBoxControl, un voleur d'infos personnalisé en .NET C# qui utilise l'hébergement de fichiers Dropbox pour communiquer et voler des données. Ce malware semble prendre en charge de nombreuses commandes, notamment l'exécution de cmd /c, le lancement d'un exécutable, le téléchargement de données vers et depuis Dropbox, la suppression de données depuis les points de terminaison cibles, la création de nouveaux répertoires (pour des charges utiles backdoor supplémentaires) et l'extraction d'informations système.

Des outils originaux

Compte tenu de sa composition, les chercheurs pensent que Worok est l'œuvre d'un groupe de cyberespionnage qui travaille discrètement, aime se déplacer latéralement sur les réseaux cibles et voler des données sensibles. Il semble également qu'il utilise ses propres outils propriétaires, car les chercheurs n'ont pas observé leur utilisation par quelqu'un d'autre. 

Worok utilise le "codage des bits les moins significatifs" (LSB), en intégrant de minuscules morceaux de code malveillant dans les bits les moins importants des pixels de l'image. 

La stéganographie semble devenir une tactique de plus en plus populaire en matière de cybercriminalité. Dans le même ordre d'idées, des chercheurs de Check Point Research (CPR) ont récemment découvert un paquet malveillant sur le dépôt PyPI basé sur Python qui utilise une image pour diffuser un cheval de Troie malveillant appelé apicolor, utilisant largement GitHub comme méthode de distribution.

Le paquet apparemment bénin télécharge une image à partir du Web, puis installe des outils supplémentaires qui traitent l'image et déclenchent ensuite le traitement de la sortie générée à l'aide de la commande exec. 

L'une de ces deux exigences est le code judyb, un module de stéganographie capable de révéler des messages cachés dans les images. Cela a ramené les chercheurs à l'image d'origine qui, en fait, télécharge des paquets malveillants depuis le Web vers le terminal de la victime.

Via: BleepingComputer (s'ouvre dans un nouvel onglet)

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.