Steganografi

Kelompok ancaman yang dilacak sebagai ‘Worok’ menyembunyikan malware di dalam gambar PNG untuk menginfeksi mesin korban dengan malware pencuri informasi tanpa membunyikan alarm.

ESET memperingatkan bahwa Worok menargetkan korban terkenal, termasuk kesatuan pemerintah di Timur Tengah, Asia Tenggara, dan Afrika Selatan, tetapi transparasi mereka ke dalam rantai serangan kelompok itu terbatas.

mengkonfirmasi asumsi ESET tentang sifat file PNG dan menambahkan informasi baru tentang jenis muatan malware dan metode eksfiltrasi data.

Menyembunyikan Malware di File PNG
Peneliti Avast menemukan empat DLL yang berisi kode CLRLoader.

CLRLoader memuat DLL tahap kedua (PNGLoader), yang mengekstrak byte yang disematkan dalam file PNG dan menggunakannya untuk merakit dua executable.

Menyembunyikan muatan dalam PNG

Muatan pertama yang diekstraksi dari bit tersebut oleh PNGLoader adalah skrip PowerShell yang tidak dapat diambil oleh ESET maupun Avast.

Muatan kedua yang bersembunyi di file PNG adalah pencuri info .NET C# khusus (DropBoxControl) yang menyalahgunakan layanan hosting file DropBox untuk komunikasi C2, eksfiltrasi file, dan banyak lagi.

Penyalahgunaan DropBox

Malware ‘DropBoxControl’ menggunakan akun DropBox yang dikendalikan aktor untuk menerima data dan perintah atau mengunggah file dari mesin yang disusupi.

Perintah disimpan dalam file terenkripsi di DropBox aktor ancaman

Bentuk file DropBox, TaskType adalah perintah

Perintah yang didukung adalah sebagai berikut:

Jalankan “cmd /c” dengan parameter yang diberikan
Luncurkan yang dapat dieksekusi dengan parameter yang diberikan
Unduh data dari DropBox ke perangkat
Unggah data dari perangkat ke DropBox
Hapus data di sistem korban
Ganti nama data pada sistem korbaN
Exfiltrate info file dari direktori yang ditentukan
Tetapkan direktori baru untuk pintu belakang
Exfiltrat informasi sistem
Perbarui konfigurasi pintu belakang

Fungsi-fungsi ini menunjukkan bahwa Worok adalah kelompok spionase siber yang tertarik dengan eksfiltrasi data sembunyi-sembunyi, gerakan lateral, dan mata-mata pada perangkat yang terinfeksi.

sumber : bleeping computer

Seorang peneliti mengungkapkan metode menyembunyikan hingga tiga MB data di dalam gambar Twitter.

Dalam peragaannya, peneliti menunjukkan file audio MP3 dan arsip ZIP yang terdapat dalam gambar PNG yang dihosting di Twitter.

Meskipun seni menyembunyikan data non-gambar dalam gambar (steganografi) bukanlah hal baru, fakta bahwa gambar dapat dihosting di situs web populer seperti Twitter dan tidak dibersihkan membuka kemungkinan penyalahgunaannya oleh aktor jahat.

Kemarin, peneliti dan programmer David Buchanan melampirkan gambar contoh ke tweetnya yang memiliki data seperti ZIP dan file MP3 tersembunyi di dalamnya.

Meskipun file PNG terlampir yang dihosting di Twitter mewakili gambar yang valid saat dipratinjau, hanya mengunduh dan mengubah ekstensi file sudah cukup untuk mendapatkan konten yang berbeda dari file yang sama.

Seperti yang diamati oleh BleepingComputer, gambar 6 KB yang di-tweet oleh peneliti berisi seluruh arsip ZIP.

ZIP berisi kode sumber Buchanan yang dapat digunakan siapa saja untuk mengemas berbagai konten ke dalam gambar PNG.

Teknik steganografi sering kali dimanfaatkan oleh pelaku ancaman tersembunyi karena memungkinkan mereka menyembunyikan perintah jahat, muatan, dan konten lain dalam file yang tampak biasa, seperti gambar.

Meskipun demikian, Buchanan yakin teknik bukti konsep gambar PNG-nya mungkin tidak terlalu berguna dengan sendirinya karena lebih banyak metode steganografi yang dapat digunakan.

Namun, teknik PNG yang ditunjukkan oleh peneliti tersebut dapat digunakan oleh malware untuk memfasilitasi aktivitas C2 perintah dan kontrolnya.

Selengkapnya: Bleeping Computer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Steganografi

Cookies Settings