Worok 后门隐藏在 PNG 图像中 媒体

Worok 威胁组利用 PNG 图像隐藏恶意软件

关键要点

Worok 威胁组已被 Avast 研究人员确认利用 PNG 图像作为隐藏信息窃取恶意软件的一种手段。这一发现印证了 ESET 之前的研究，怀疑该组使用类似的攻击方式。根据 Avast 的报告，尽管对 Worok 所采取的网络入侵手法仍存疑虑，但该组织被认为使用了 DLL 侧载技术来促成 CLRLoader 恶意软件加载器在内存中的执行。

报告显示，第二阶段的 DLL PNGLoader 是通过 CLRLoader 加载的，以便提取嵌入在 PNG 图像中的字节，进而创建两个可执行文件。Worok 使用了最不显著位编码隐写技术将恶意软件隐藏在 PNG 图像中，PNGLoader 被发现包含了一个作为初始有效载荷的 PowerShell 脚本以及一个自定义的 NET C# 信息窃取工具 DropBoxControl。

DropBoxControl 具有多种功能，包括执行“cmd /c”命令、下载执行、以及对 DropBox 数据的上传和下载。它还支持数据删除、重命名和外泄，同时创建后门目录。

功能说明cmd /c 执行允许系统命令的执行下载执行用于下载和执行恶意软件DropBox 数据处理管理 DropBox 中的数据，包括上传和下载数据管理数据的删除、重命名及外泄创建后门目录为攻击者创造进一步的访问渠道

对于网络安全防护者和企业而言，提高对这种新型攻击方式的警惕性至关重要。相关联的链接也可以帮助进一步了解和防范此类攻击： BleepingComputer、 Scworld。