Categorie
Sicurezza Informatica

Hackers rubano i dati con malware nascosto nei file PNG usando la steganografia

Tempo di lettura: 2 minuti. È possibile che gli strumenti di Worok siano uno strumento APT che si concentra su organizzazioni di alto profilo nel settore pubblico e commerciale in Asia, Africa e Nord America, data la loro rarità in natura.

Tempo di lettura: 2 minuti.

Gli esperti di Avast, che si sono basati sulle scoperte di ESET, il primo a notare e segnalare il gruppo di minacce noto come “Worok”, nasconde il malware all’interno di immagini PNG per infettare silenziosamente i computer delle vittime con un malware che ruba informazioni.
Secondo i rapporti, il gruppo prende di mira aziende di alto profilo e governi locali in Asia. Al momento, il gruppo sta prendendo di mira le aziende energetiche dell’Asia centrale e gli enti pubblici del sud-est asiatico per rubare i dati in base alla tipologia delle aziende attaccate.

Catena di compromissione di Worok

Il malware viene presumibilmente diffuso dagli aggressori utilizzando le falle di ProxyShell. In alcuni rari casi, le vulnerabilità di ProxyShell sono state sfruttate per mantenere la persistenza all’interno della rete della vittima.
Gli aggressori hanno poi rilasciato i loro kit malevoli personalizzati utilizzando strumenti di exploit pubblicamente accessibili. La catena di compromissione finale è quindi semplice: il primo stadio è CLRLoader, che esegue un breve pezzo di codice per caricare lo stadio successivo (PNGLoader).

Questa tecnica spesso incorpora i dati nei bit meno importanti di ciascun pixel. In questo particolare approccio, un pixel codifica un nibble (un bit per ogni canale alfa, rosso, verde e blu), il che significa che due pixel contengono un byte di informazioni segrete.

ESET e Avast non sono riusciti a recuperare lo script PowerShell che costituisce il payload iniziale che PNGLoader ha estratto da questi bit. Il secondo payload, chiamato DropBoxControl, è un ruba-informazioni C# personalizzato.NET che sfrutta il servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altri scopi. È nascosto dietro i file PNG.

File PNG dannoso contenente l’info-stealer

Una backdoor chiamata “DropBoxControl” utilizza il servizio DropBox per connettersi con gli aggressori. È degno di nota il fatto che il server C&C sia un account DropBox e che tutte le comunicazioni, comprese le istruzioni, i caricamenti e i download, avvengano tramite file comuni in cartelle designate.

Secondo gli esperti, DropBoxControl esegue i comandi in base ai file richiesti dopo aver controllato regolarmente la cartella DropBox. Gli aggressori controllano la backdoor attraverso i dieci comandi seguenti:

  • Comandi della backdoor
  • Parola finale
  • Il payload C# (DropBoxControl), che è incorporato stenograficamente, verifica che “Worok” sia il gruppo di cyber-spionaggio. Attraverso l’account DropBox collegato alle attuali e-mail di Google, rubano i dati.

Di Livio Varriale

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro la pedopornografia online, il suo motto è “Coerenza, Costanza, CoScienza”.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version