Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.
Ini telah dikonfirmasi oleh para peneliti di Avast, yang membangun berdasarkan temuan ESET, yang pertama kali menemukan dan melaporkan aktivitas Worok pada awal September 2022.
ESET memperingatkan bahwa Worok menargetkan korban terkenaltermasuk entitas pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi visibilitas mereka ke dalam rantai serangan kelompok itu terbatas.
milik Avast laporan didasarkan pada artefak tambahan yang ditangkap perusahaan dari serangan Worok, mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.
Menyembunyikan malware dalam file PNG
Meskipun metode yang digunakan untuk menembus jaringan masih belum diketahui, Avast yakin Worok kemungkinan menggunakan sideloading DLL untuk mengeksekusi pemuat malware CLRLoader ke dalam memori.
Ini didasarkan pada bukti dari mesin yang disusupi, di mana peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.
Selanjutnya, CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.
.png)
Sumber: Avast
Menyembunyikan muatan di PNG
Steganografi adalah menyembunyikan kode di dalam file gambar yang tampak normal saat dibuka di penampil gambar.
Dalam kasus Worok, Avast mengatakan pelaku ancaman menggunakan teknik yang disebut “pengkodean Least Significant Bit (LSB),” yang menyematkan potongan kecil kode berbahaya di bagian paling tidak penting dari piksel gambar.
Sumber: Avast
Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.
Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.
Gambar PNG yang berisi payload kedua adalah sebagai berikut:
Sumber: Avast
Penyalahgunaan DropBox
Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.
Perintah disimpan dalam file terenkripsi di repositori DropBox aktor ancaman yang diakses malware secara berkala untuk mengambil tindakan yang tertunda.
Sumber: Avast
Perintah yang didukung adalah sebagai berikut:
- Jalankan “cmd /c” dengan parameter yang diberikan
- Luncurkan executable dengan parameter yang diberikan
- Unduh data dari DropBox ke perangkat
- Unggah data dari perangkat ke DropBox
- Hapus data di sistem korban
- Ganti nama data pada sistem korban
- Exfiltrate info file dari direktori yang ditentukan
- Tetapkan direktori baru untuk pintu belakang
- Exfiltrat informasi sistem
- Perbarui konfigurasi pintu belakang
Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.
Avast berkomentar bahwa alat sampel dari serangan Worok tidak beredar di alam liar, sehingga kemungkinan digunakan secara eksklusif oleh kelompok ancaman.
