Malware PNG-képekben
Az Avast kutatói is megerősítették – az ESET korábbi eredményeit használva – hogy a Worok csoport képfájlokat használ információlopó kártékony kódok terjesztésére.
Az ESET figyelmeztetett, hogy a Worok nagyobb áldozatokat vesz célba, köztük a közel-keleti, délkelet-ázsiai és dél-afrikai kormányzati szerveket.
Az Avast jelentése a Worok támadásai során rögzített kártékony kódok elemzésén alapszik, megerősítve az ESET feltételezéseit a PNG-fájlok alkalamzását és új információkkal egészítette ki a rosszindulatú programok típusát és az adatok kiszűrésének módját.
A támadók steganográfia segítségével olyan kódot rejt el a képfájlokban, amelyek képnézegetőben megnyitva normálisnak tűnnek. A Worok esetében az Avast szerint a fenyegetés szereplői a legkisebb jelentőségű bit (Least Significant Bit – LSB) kódolásnak nevezett technikát alkalmazták, amely a rosszindulatú kód kis darabjait a kép pixeleinek legkevésbé fontos bitjeibe ágyazza. A PNGLoader által ezekből a bitekből összeállít egy PowerShell-szkriptet, amelyet sem az ESET, sem az Avast nem tudott reprodukálni. A PNG-fájlokban a második kártékony kód egy egyedi .NET C# információlopó (DropBoxControl), amely visszaél a DropBox fájltárhely szolgáltatással a C2 kommunikációhoz, a fájlok kiszűréséhez és egyebekhez.