Noční můra jménem Worok! Nový malware se dokáže ukrýt v obyčejném obrázku
- Výskyt zavirovaných obrázků rapidně narůstá
- Za většinou z nich stojí anonymní hackerská skupina
- Jak dokáží ukrýt a zaktivovat škodlivý kód v PNG souboru?
Kybernetická bezpečnost se každým dnem postupně zdokonaluje, mohli bychom tak tvrdit, že riziko nepříjemného setkání s jakýmkoliv malwarem je podstatně mizivější, než před několika lety. Je však potřeba se dívat i na odvrácenou stranu. Snaha nalézt nové možnosti, jak svým škodlivým kódem infikovat cizí zařízení, rozhodně nevyprchala.
Nedávno jsme informovali o specifické fotce, do které se útočníkům povedlo implementovat nebezpečný malware. A nebylo příliš složité vydedukovat, že se rozhodně nebude jednat o jediný a poslední případ. Neznámá skupina hackerů se v tvorbě škodlivých obrázků nyní přímo vyžívá.
Malware se ukrývá i v obyčejné fotografii
Giganti na poli kybernetické bezpečnosti Avast a ESET zpozorovali výskyt stejného typu malwaru ukrytého v PNG souborech již na začátku září 2022. Nebezpečný program pojmenovali Worok a podle jejich predikcí za ním stojí kyberšpionážní skupina snažící se o odcizení citlivých dat vládních či jiných vysoce postavených korporací především na Blízkém Východě, v jihovýchodní Asii a jižní Africe.
Čtěte také: Nezastavitelný malware v Google Play! Pokud máte tyto aplikace, hned je smažte
Jak Worok funguje?
Ačkoliv proces ukrytí a zaktivování onoho malwaru nebyl stále ještě úplně odhalen, Avast nám poskytuje několik zajímavých domněnek. Worok by měl pracovat na bázi DLL sideloadingu, díky němu se při otevření souboru spustí program CLRLoader, schopný přečíst a uvést do provozu škodlivý kód ukrytý přímo v obrázku.
Neznámí útočníci pro uložení nebezpečného kódu využívají techniku zvanou „least significant bit“ (LBS). Po malých částech ho vkládají do těch nejméně důležitých pixelů samotné fotky. Drtivá většina antivirových programů tak nemá šanci Worok detekovat.
Originální nástroje
Mnoho útočníků při tvorbě malwaru využívá již existující nástroje. Pro Worok byl však zvolen trochu jiný postup, lze v něm nalézt zcela originální pomůcky. K těm patří například na míru stvořený .NET C# info-stealer, jenž zneužívá cloudové služby DropBox k již zmíněnému odcizení osobních dat.
