Gli esperti di Avast, che si sono basati sulle scoperte di ESET, il primo a notare e segnalare il gruppo di minacce noto come “Worok”, nasconde il malware all’interno di immagini PNG per infettare silenziosamente i computer delle vittime con un malware che ruba informazioni.
Secondo i rapporti, il gruppo prende di mira aziende di alto profilo e governi locali in Asia. Al momento, il gruppo sta prendendo di mira le aziende energetiche dell’Asia centrale e gli enti pubblici del sud-est asiatico per rubare i dati in base alla tipologia delle aziende attaccate.
Catena di compromissione di Worok
Il malware viene presumibilmente diffuso dagli aggressori utilizzando le falle di ProxyShell. In alcuni rari casi, le vulnerabilità di ProxyShell sono state sfruttate per mantenere la persistenza all’interno della rete della vittima.
Gli aggressori hanno poi rilasciato i loro kit malevoli personalizzati utilizzando strumenti di exploit pubblicamente accessibili. La catena di compromissione finale è quindi semplice: il primo stadio è CLRLoader, che esegue un breve pezzo di codice per caricare lo stadio successivo (PNGLoader).
Questa tecnica spesso incorpora i dati nei bit meno importanti di ciascun pixel. In questo particolare approccio, un pixel codifica un nibble (un bit per ogni canale alfa, rosso, verde e blu), il che significa che due pixel contengono un byte di informazioni segrete.
ESET e Avast non sono riusciti a recuperare lo script PowerShell che costituisce il payload iniziale che PNGLoader ha estratto da questi bit. Il secondo payload, chiamato DropBoxControl, è un ruba-informazioni C# personalizzato.NET che sfrutta il servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altri scopi. È nascosto dietro i file PNG.
File PNG dannoso contenente l’info-stealer
Una backdoor chiamata “DropBoxControl” utilizza il servizio DropBox per connettersi con gli aggressori. È degno di nota il fatto che il server C&C sia un account DropBox e che tutte le comunicazioni, comprese le istruzioni, i caricamenti e i download, avvengano tramite file comuni in cartelle designate.
Secondo gli esperti, DropBoxControl esegue i comandi in base ai file richiesti dopo aver controllato regolarmente la cartella DropBox. Gli aggressori controllano la backdoor attraverso i dieci comandi seguenti:
- Comandi della backdoor
- Parola finale
- Il payload C# (DropBoxControl), che è incorporato stenograficamente, verifica che “Worok” sia il gruppo di cyber-spionaggio. Attraverso l’account DropBox collegato alle attuali e-mail di Google, rubano i dati.
