Un gruppo hacker identificato con il nome di “Worok” ha ideato una tecnica per occultare malware all’interno di immagini PNG così da poter compromettere un sistema senza innescare alcun allarme. La scoperta è stata fatta dai ricercatori di sicurezza di Avast, grazie ad un precedente lavoro di ESET che per prima ha individuato l’attività di Worok all’inizio di settembre.
Durante le indagini di ESET è emerso come Worok abbia preso di mira bersagli di alto profilo, tra cui realtà governative nel Medio Oriente, in Sud-Est asiatico e in Sud Africa. Al momento delle analsi di ESET, però, era stato difficile riuscire a far luce sulle modalità e tecniche di attacco del gruppo hacker.
Partendo dagli elementi emersi durante le analisi di ESET, Avast ha portato avanti il lavoro riuscendo a confermare quanto ipotizzato in precedenza, e cioè l’uso di immagini PNG come vettore di attacco. Al momento resta ignoto il metodo che Worok usa per violare la sicurezza della rete, ma Avast ritiene che vi sia un’elevata probabilità di impiego di tecniche di sideloading DDL per eseguire CRLLoader.
Una volta che gli aggressori sono riusciti a violare la rete, tramite CRLLoader viene caricata una seconda DLL, PNGLoader, che avrà il compito di estrarre le informazioni nascoste nei file PNG ed assemblarle per costruire due eseguibili.
Il codice dannoso viene nascosto all’interno dei file PNG utilizzando tecniche di steganografia, così che le immagini appaiano come tali quando sono visualizzate con strumenti ordinari. Nel caso particolare del malware di Worok la tecnica utilizzata prende il nome di Least Significant Bit Encoding e si basa sull’inserimento di piccoli frammenti di codice nei bit meno importanti dei pixel d’immagine.
Una volta che il codice è stato estratto e assemblato, sulla macchina presa di mira si trovano eseguibili che consentono di sottrarre informazioni e inviarle in forma di archivio in un account Dropbox controllato da Worok.
Avast osserva che gli strumenti che sono stati osservati durante le analisi non sono liberamente disponibili sulla rete, e sono quindi probabilmente ad utilizzo esclusivo di Worok.