Группировка Worok прячет новый вредонос в PNG-файле

Группировка Worok прячет новый вредонос в PNG-файле

Группировка Worok прячет новый вредонос в PNG-файле

Киберпреступная группировка Worok начала прятать вредоносную программу в PNG-изображениях (стеганография). Пробравшись на устройство жертвы, вредонос крадёт важную информацию, а способ его доставки не вызывает алертов защитных программ.

Впервые о Worok рассказали специалисты компании ESET в сентябре 2022 года. Теперь исследователи из Avast обратили внимание сообщества на новую кампанию группы.

В первую очередь киберпреступников интересуют госучреждения в странах Среднего Востока, Южной Африки и Юго-Восточной Азии. Эксперты пока не знают, как именно злоумышленники проникают в сети, но есть предположение, что Worok использует стороннюю загрузку DLL для запуска вредоноса CLRLoader в памяти.

Далее CLRLoader загружает пейлоад PNGLoader, задача которого — извлечь байты, встроенные в PNG-изображения и «сложить» из них два исполняемых файла. В отчёте Avast есть инфографика, демонстрирующая этапы атаки:

 

Специалисты также отметили, что Worok использует технику кодирования наименее важного бита (“least significant bit (LSB) encoding“). Это значит, что небольшие фрагменты вредоносного кода встраиваются в наименее важные биты пикселей изображения.

 

Первый пейлоад, извлекаемый PNGLoader, представляет собой PowerShell-скрипт, который, к сожалению, не смогли восстановить ни ESET, ни Avast. Вторая нагрузка — кастомный вредонос, похищающий файлы жертвы. Последний использует DropBox в качестве командного центра (C2).

Кстати, то самое PNG-изображение, скрывающее второй пейлоад, выглядит довольно безобидно:

 

По словам Avast, Worok использует кастомные инструменты, которые на данный момент недоступны другим киберпреступным группировкам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Microsoft Defender ошибочно помечает BIOS Dell как устаревший

У Microsoft снова проблемы с ложными срабатываниями в ИБ-продуктах. На этот раз баг затронул Defender for Endpoint: система ошибочно помечала BIOS на некоторых устройствах Dell как устаревший и настойчиво советовала обновить прошивку.

В компании признали, что причиной стала ошибка в логике проверки уязвимостей именно для Dell.

Пользователи уже начали получать ложные уведомления, и Microsoft подтвердила, что затронуты корпоративные клиенты. Фикс уже есть, сейчас его готовят к развертыванию, но когда именно и в каких регионах он появится — пока не сообщают.

Параллельно инженеры Microsoft устранили другую проблему: на macOS-устройствах после обновления 29 сентября появлялись «чёрные экраны смерти». Оказалось, что сбой был вызван конфликтом в Apple Enterprise Security Framework, когда несколько провайдеров безопасности одновременно слушали события.

Это далеко не первый случай с ложными срабатываниями. В сентябре компания устраняла ошибку антиспама, из-за которой пользователи Teams и Exchange Online не могли открывать некоторые ссылки.

Ранее в этом году были похожие накладки: то Adobe-рассылки случайно попадали в спам, то Gmail-сообщения, то письма Exchange Online оказывались в карантине без повода.

Иными словами, Microsoft продолжает бороться не только с угрозами, но и с собственными алгоритмами.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru