En bref : les chercheurs en sécurité ont en fait découvert un tout nouveau malware conçu pour abuser des méthodes de stéganographie. Worok semble être une opération de cyber-espionnage complexe dont les étapes individuelles sont encore en partie un mystère. L’objectif final de l’opération a néanmoins été vérifié par 2 sociétés de sécurité.
Worok utilise des logiciels malveillants en plusieurs étapes créés pour prendre des informations et compromettre des victimes de haut niveau, en utilisant des stratégies de stéganographie pour masquer des éléments de la dernière charge utile dans un fichier image PNG ordinaire. Le nouveau malware a été découvert pour la première fois par ESET en septembre.
La société décrit Worok comme un nouveau groupe de cyberespionnage qui utilise des outils non documentés, y compris une routine de stéganographie créée pour extraire une charge utile nuisible d’un PNG ordinaire fichier d’image. Une copie de ladite image est révélée ci-dessous.
Les opérateurs de Worok ciblaient des victimes de premier plan comme des entreprises du gouvernement fédéral, avec un accent particulier sur le Moyen-Orient, l’Asie du Sud-Est et l’Afrique du Sud. Les connaissances d’ESET sur la chaîne d’attaque du risque étaient limitées, mais une nouvelle analyse d’Avast fournit désormais des détails supplémentaires sur cette opération.
Avast recommande à Worok d’utiliser une conception complexe à plusieurs étapes pour dissimuler son Activités. La méthode utilisée pour violer les réseaux n’est toujours pas identifiée ; dès son déploiement, la toute première phase abuse du chargement latéral de DLL pour exécuter le malware CRLLoader en mémoire. Le module CLRLoader est ensuite utilisé pour exécuter le module DLL de deuxième étape (PNGLoader), qui extrait des octets spécifiques cachés dans les fichiers image PNG. Ces octets sont utilisés pour assembler 2 fichiers exécutables.
La stratégie de stéganographie utilisée par Worok est appelée codage de bit le moins substantiel, qui dissimule de petites portions du code nuisible dans les « bits les plus abordables » dans des pixels spécifiques dans le image qui peut être récupérée plus tard.
La toute première charge utile cachée avec cette approche est un script PowerShell pour lequel ni ESET ni Avast n’ont pu acquérir un échantillon. La deuxième charge utile est un module personnalisé de vol d’informations et de porte dérobée appelé DropBoxControl, une routine écrite en.NET C#, créée pour obtenir des commandes à distance à partir d’un compte Dropbox compromis.
DropBoxControl peut en exécuter plusieurs — et éventuellement dangereux – actions, consistant en la possibilité d’exécuter la commande » cmd/ c » avec les spécifications proposées, de lancer des fichiers binaires exécutables, de télécharger des données de Dropbox sur l’appareil (Windows) infecté, d’effacer des données sur le système, d’exfiltrer des informations système ou fichiers à partir d’un répertoire spécifique, et plus encore.
Alors que les analystes sont encore en train de rassembler toutes les pièces, l’enquête Avast confirme que Worok est une opération personnalisée développée pour prendre des données, espionner et compromettre des victimes de haut niveau dans régions spécifiques du monde.
Toute l’actualité en temps réel, est sur L’Entrepreneur
