Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.
ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.
mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.
Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.
CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.
Menyembunyikan muatan dalam PNG
Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.
Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.
Penyalahgunaan DropBox
Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.
Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman
Perintah yang didukung adalah sebagai berikut:
- Jalankan “cmd /c” dengan parameter yang diberikan
- Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
- Unduh data dari DropBox ke perangkat
- Unggah data dari perangkat ke DropBox
- Hapus data di sistem korban
- Ganti nama data pada sistem korbaN
- Exfiltrate info file dari direktori yang ditentukan
- Tetapkan direktori baru untuk pintu belakang
- Exfiltrat informasi sistem
- Perbarui konfigurasi pintu belakang
Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.
sumber : bleeping computer