[ad_1]
简而言之: 安全研究人员发现了一种旨在滥用隐写术技术的新型恶意软件威胁。 Worok 似乎是一项复杂的网络间谍活动,其各个阶段在一定程度上仍是个谜。 然而,该行动的最终目标已得到两家安全公司的确认。
Worok 正在使用旨在窃取数据和危害知名受害者的多阶段恶意软件,使用隐写术将最终有效载荷的片段隐藏在纯 PNG 图像文件中。 这种新型恶意软件于 9 月由 ESET 首次发现。
该公司将 Worok 描述为一个新的网络间谍组织,它使用未记录的工具,包括一个旨在从纯 PNG 图像文件中提取恶意负载的隐写术例程。 所述图像的副本如下所示。
Worok 运营商的目标是政府机构等知名受害者,特别关注中东、东南亚和南非。 ESET 对威胁攻击链的了解有限,但 Avast 的一项新分析现在提供了有关此操作的更多详细信息。
Avast 建议 Worok 使用复杂的多级设计来隐藏其活动。 用于破坏网络的方法仍然未知; 部署后,第一阶段滥用 DLL 旁加载在内存中执行 CLRLoader 恶意软件。 然后使用 CLRLoader 模块执行第二阶段 DLL 模块 (PNGLoader),该模块提取隐藏在 PNG 图像文件中的特定字节。 这些字节用于组装两个可执行文件。
Worok 使用的隐写技术被称为最低有效位编码,它将一小部分恶意代码隐藏在图像中特定像素内的“最低位”中,以后可以恢复。
使用此方法隐藏的第一个 payload 是一个 PowerShell 脚本,ESET 和 Avast 都无法获得该脚本的样本。 第二个有效载荷是一个名为 DropBoxControl 的自定义信息窃取和后门模块,这是一个用 .NET C# 编写的例程,旨在从受感染的 Dropbox 帐户接收远程命令。
DropBoxControl 可以执行许多具有潜在危险的操作,包括使用给定参数运行“cmd /c”命令、启动可执行二进制文件、将数据从 Dropbox 下载到受感染 (Windows) 设备、删除系统上的数据、从特定目录中提取系统信息或文件等。
虽然分析师仍在将所有部分放在一起,但 Avast 的调查证实,Worok 是一项定制操作,旨在窃取数据、监视和危害世界特定地区的高级受害者。
[ad_2]
Source link
/cdn.vox-cdn.com/uploads/chorus_asset/file/24188621/1186793604.jpg)