Группировка Worok прячет новый вредонос в PNG-файле

Екатерина Быстрова 11 Ноября 2022 - 09:33

Малый и средний бизнес

...

Киберпреступная группировка Worok начала прятать вредоносную программу в PNG-изображениях (стеганография). Пробравшись на устройство жертвы, вредонос крадёт важную информацию, а способ его доставки не вызывает алертов защитных программ.

Впервые о Worok рассказали специалисты компании ESET в сентябре 2022 года. Теперь исследователи из Avast обратили внимание сообщества на новую кампанию группы.

В первую очередь киберпреступников интересуют госучреждения в странах Среднего Востока, Южной Африки и Юго-Восточной Азии. Эксперты пока не знают, как именно злоумышленники проникают в сети, но есть предположение, что Worok использует стороннюю загрузку DLL для запуска вредоноса CLRLoader в памяти.

Далее CLRLoader загружает пейлоад PNGLoader, задача которого — извлечь байты, встроенные в PNG-изображения и «сложить» из них два исполняемых файла. В отчёте Avast есть инфографика, демонстрирующая этапы атаки:

Специалисты также отметили, что Worok использует технику кодирования наименее важного бита (“least significant bit (LSB) encoding“). Это значит, что небольшие фрагменты вредоносного кода встраиваются в наименее важные биты пикселей изображения.

Первый пейлоад, извлекаемый PNGLoader, представляет собой PowerShell-скрипт, который, к сожалению, не смогли восстановить ни ESET, ни Avast. Вторая нагрузка — кастомный вредонос, похищающий файлы жертвы. Последний использует DropBox в качестве командного центра (C2).

Кстати, то самое PNG-изображение, скрывающее второй пейлоад, выглядит довольно безобидно:

По словам Avast, Worok использует кастомные инструменты, которые на данный момент недоступны другим киберпреступным группировкам.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Екатерина Быстрова 18 Февраля 2026 - 19:29

Домашние пользователи Защита персональных данных

Telegram тестирует запрет пересылки в личных чатах

Telegram продолжает экспериментировать с новыми функциями. В бета-версии для iOS 12.5 появились сразу две любопытные возможности: защита контента в личных чатах и автоматические напоминания по датам. Пока обе функции доступны только в бета-версии для iOS, и сроки их появления в стабильной сборке не называются.

На нововведения обратил внимание «Код Дурова». Первая функция касается приватности. В бета-версии можно запретить собеседнику копировать, сохранять и пересылать материалы из личного чата.

Чтобы включить ограничение, нужно открыть профиль контакта, выбрать «Изменить контакт» и активировать пункт «Запретить копирование». Правда, пока функция работает нестабильно, что неудивительно для тестовой версии.

Если нововведение дойдёт до релиза, это станет заметным шагом к усилению контроля над личной перепиской. Ранее похожие ограничения уже применялись в секретных чатах и каналах, но теперь речь идёт об обычных приватных диалогах.

Вторая тестируемая возможность — «умные» напоминания. Telegram начал автоматически распознавать в сообщениях временные формулировки вроде «сегодня», «завтра» или конкретные даты, например «1 апреля», и предлагать создать напоминание в один тап.

Интересно, что если напоминание создаётся из группового чата, уведомление всё равно придёт в «Избранное». Это значит, что пользователь получит его даже в том случае, если уведомления от группы отключены или если он позже выйдет из неё.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!