Группировка Worok прячет новый вредонос в PNG-файле

Группировка Worok прячет новый вредонос в PNG-файле

Группировка Worok прячет новый вредонос в PNG-файле

Киберпреступная группировка Worok начала прятать вредоносную программу в PNG-изображениях (стеганография). Пробравшись на устройство жертвы, вредонос крадёт важную информацию, а способ его доставки не вызывает алертов защитных программ.

Впервые о Worok рассказали специалисты компании ESET в сентябре 2022 года. Теперь исследователи из Avast обратили внимание сообщества на новую кампанию группы.

В первую очередь киберпреступников интересуют госучреждения в странах Среднего Востока, Южной Африки и Юго-Восточной Азии. Эксперты пока не знают, как именно злоумышленники проникают в сети, но есть предположение, что Worok использует стороннюю загрузку DLL для запуска вредоноса CLRLoader в памяти.

Далее CLRLoader загружает пейлоад PNGLoader, задача которого — извлечь байты, встроенные в PNG-изображения и «сложить» из них два исполняемых файла. В отчёте Avast есть инфографика, демонстрирующая этапы атаки:

 

Специалисты также отметили, что Worok использует технику кодирования наименее важного бита (“least significant bit (LSB) encoding“). Это значит, что небольшие фрагменты вредоносного кода встраиваются в наименее важные биты пикселей изображения.

 

Первый пейлоад, извлекаемый PNGLoader, представляет собой PowerShell-скрипт, который, к сожалению, не смогли восстановить ни ESET, ни Avast. Вторая нагрузка — кастомный вредонос, похищающий файлы жертвы. Последний использует DropBox в качестве командного центра (C2).

Кстати, то самое PNG-изображение, скрывающее второй пейлоад, выглядит довольно безобидно:

 

По словам Avast, Worok использует кастомные инструменты, которые на данный момент недоступны другим киберпреступным группировкам.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Интерпол и Kaspersky выявили сеть стилеров — пострадали 216 тыс. человек

С января по апрель 2025 года Интерпол провёл международную операцию Secure, направленную на борьбу с вредоносными программами-стилерами в Азиатско-Тихоокеанском регионе. В операции участвовали правоохранительные органы из 26 стран.

К ней также подключились эксперты по кибербезопасности, в том числе специалисты «Лаборатории Касперского».

Главная задача — найти и заблокировать инфраструктуру, через которую распространяются стилеры: это вредоносные программы, крадущие пароли, токены, сессии браузеров и другие чувствительные данные.

Удалось отследить вредоносные серверы, физические узлы, а также пресечь активность киберпреступников в ряде стран, включая Вьетнам, Гонконг, Шри-Ланку и Науру.

«Лаборатория Касперского» предоставила технические данные о серверах управления и распространения стилеров, которые использовались злоумышленниками.

Результаты операции:

  • Более 30 человек арестовано, из них 18 — во Вьетнаме;
  • Свыше 20 тысяч подозрительных IP-адресов и доменов заблокированы;
  • Изъято более 40 серверов;
  • Уведомлено более 216 тысяч пострадавших и потенциальных жертв — им рекомендовали срочно сменить пароли, заморозить доступ к аккаунтам и проверить, не скомпрометированы ли их данные.

В Интерполе подчеркнули, что такие операции показывают, насколько важно сотрудничество между странами и экспертным сообществом. Благодаря этому удаётся быстро отслеживать вредоносную активность и защищать пользователей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru