Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
Red Hot Cyber Academy

Utilizzare un file PNG per distribuire malware? La gang Workok sta utilizzando la steganografia

Redazione RHC : 12 Novembre 2022 09:38

Un gruppo di minacce identificato come “Workoknasconde il malware all’interno di immagini PNG per infettare i computer delle vittime con malware di tipo infostealer.

Ciò è stato confermato dai ricercatori di Avast, che si sono basati sui risultati di ESET, il primo a individuare e riferire sull’attività di Worok all’inizio di settembre 2022.

ESET ha avvertito che  Worok ha preso di mira vittime di alto profilo, comprese entità governative in Medio Oriente, Sud-est asiatico e Sud Africa, ma la loro visibilità nella catena di attacco del gruppo era limitata. 

Iscriviti GRATIS alla RHC Conference 2025 (Venerdì 9 maggio 2025)

Il giorno Venerdì 9 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la RHC Conference 2025. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico.

La giornata inizierà alle 9:30 (con accoglienza dalle 9:00) e sarà interamente dedicata alla RHC Conference, un evento di spicco nel campo della sicurezza informatica. Il programma prevede un panel con ospiti istituzionali che si terrà all’inizio della conferenza. Successivamente, numerosi interventi di esperti nazionali nel campo della sicurezza informatica si susseguiranno sul palco fino alle ore 19:00 circa, quando termineranno le sessioni. Prima del termine della conferenza, ci sarà la premiazione dei vincitori della Capture The Flag prevista per le ore 18:00.
Potete iscrivervi gratuitamente all'evento utilizzando questo link.

Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Il rapporto di Avast si basa su ulteriori artefatti che l’azienda ha catturato dagli attacchi di Workok, confermando le ipotesi di ESET sulla natura dei file PNG e aggiungendo nuove informazioni sul tipo di payload del malware e sul metodo di esfiltrazione dei dati.

Sebbene il metodo utilizzato per violare le reti rimanga sconosciuto, Avast ritiene che Worok utilizzi probabilmente il sideloading DLL per eseguire il loader CRLLoader in memoria.

Ciò si basa su prove provenienti da macchine compromesse, in cui i ricercatori di Avast hanno trovato quattro DLL contenenti il ​​codice CRLLoader.

Successivamente, CRLLoader carica la DLL di seconda fase (PNGLoader), che estrae i byte incorporati nei file PNG e li utilizza per assemblare due eseguibili.

La catena di infezione completa di Work
Catena di infezione completa di Work Fonte: Avast

La steganografia nasconde il codice all’interno dei file immagine che appaiono normali quando vengono aperti in un visualizzatore di immagini.

Nel caso di Worok, Avast afferma che gli attori delle minacce hanno utilizzato una tecnica chiamata “least significant bit (LSB) encoding”, che incorpora piccoli frammenti di codice dannoso nei bit meno importanti dei pixel dell’immagine.

Codifica LSB su file di immagine
LSB sui pixel dell’immagine Fonte: Avast

Il primo payload estratto da quei bit da PNGLoader è uno script di PowerShell che né ESET né Avast potrebbero recuperare.

Il secondo payload nascosto nei file PNG è un infostealer scritto in C# per Microsoft .NET (DropBoxControl) che abusa del servizio di file hosting DropBox per la comunicazione C2, l’esfiltrazione di file e altro ancora.

L’immagine PNG contenente il secondo carico utile è la seguente:

File immagine PNG
Questo file PNG contenente l’infostealer Fonte: Avast

Il malware “DropBoxControl” utilizza un account DropBox controllato dall’attore della minaccia per ricevere dati e comandi o caricare file dalla macchina compromessa.

I comandi sono archiviati in file crittografati nel repository DropBox dell’attore delle minacce a cui il malware accede periodicamente per recuperare le azioni in sospeso., come riportato nell’immagine di seguito.

Forma dei file DropBox
Fonte: Avast

I comandi supportati sono i seguenti:

  • Esegui “cmd /c” con i parametri indicati
  • Avvia un eseguibile con determinati parametri
  • Scarica i dati da DropBox sul dispositivo
  • Carica i dati dal dispositivo su DropBox
  • Elimina i dati sul sistema della vittima
  • Rinominare i dati sul sistema della vittima
  • Esfiltrare le informazioni da una directory definita
  • Impostare una nuova directory per inserire una backdoor
  • Esfiltrare le informazioni di sistema
  • Aggiornare la configurazione della backdoor

Queste funzioni indicano che Worok è un gruppo di spionaggio informatico interessato all’esfiltrazione di dati, ai movimenti laterali e allo spionaggio del dispositivo infetto.

Avast commenta che gli strumenti utilizzati dagli attacchi di Workok non circolano molto in rete, quindi sono probabilmente utilizzati esclusivamente dal gruppo di minacce.

Fonte bleepingcomputer

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Articoli in evidenza

DarkLab intervista HellCat Ransomware! La chiave è “assicurarsi che tutti comprendano la cybersecurity”

Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...

X/Twitter nel Caos! Un Threat Actors pubblica 2.8 Miliardi di Account Compromessi

Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...

Signal è abbastanza sicuro per la CIA e per il CISA. Lo è anche per te?

Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...

Addio alle password! La rivoluzione della sicurezza informatica è già iniziata

Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...

Alla scoperta della Pseudonimizzazione: Tra definizione e valore giuridico

La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS

Copyright @ REDHOTCYBER Srl
PIVA 17898011006