En un mot: Des chercheurs en sécurité ont découvert une nouvelle menace malveillante conçue pour abuser des techniques de stéganographie. Worok semble être une opération de cyber-espionnage complexe dont les étapes individuelles sont encore en partie un mystère. L’objectif final de l’opération a cependant été confirmé par deux sociétés de sécurité.
Worok utilise des logiciels malveillants en plusieurs étapes conçus pour voler des données et compromettre des victimes de premier plan, en utilisant des techniques de stéganographie pour masquer des éléments de la charge utile finale dans un fichier image PNG ordinaire. Le nouveau logiciel malveillant était découvert pour la première fois par ESET en septembre.
La société décrit Worok comme un nouveau groupe de cyberespionnage qui utilise des outils non documentés, notamment une routine de stéganographie conçue pour extraire une charge utile malveillante d’un fichier image PNG ordinaire. Une copie de ladite image est présentée ci-dessous.
Les opérateurs de Worok ciblaient des victimes de premier plan comme les agences gouvernementales, avec un accent particulier sur le Moyen-Orient, l’Asie du Sud-Est et l’Afrique du Sud. Les connaissances d’ESET sur la chaîne d’attaque de la menace étaient limitées, mais une nouvelle analyse d’Avast fournit désormais des détails supplémentaires sur cette opération.
Avast suggère Workok utilise une conception complexe en plusieurs étapes pour cacher ses activités. La méthode utilisée pour violer les réseaux est encore inconnue ; une fois déployée, la première étape abuse du chargement latéral de DLL pour exécuter le malware CRLLoader en mémoire. Le module CLRLoader est ensuite utilisé pour exécuter le module DLL de deuxième étape (PNGLoader), qui extrait des octets spécifiques cachés dans les fichiers image PNG. Ces octets sont utilisés pour assembler deux fichiers exécutables.
La technique de stéganographie utilisée par Worok est connue sous le nom de codage du bit le moins significatifqui cache de petites portions du code malveillant dans les « bits les plus bas » dans des pixels spécifiques de l’image qui peuvent être récupérés ultérieurement.
La première charge utile cachée avec cette méthode est un script PowerShell pour lequel ni ESET ni Avast n’ont encore pu obtenir d’échantillon. La deuxième charge utile est un module personnalisé de vol d’informations et de porte dérobée nommé DropBoxControl, une routine écrite en .NET C#, conçue pour recevoir des commandes à distance d’un compte Dropbox compromis.
DropBoxControl peut exécuter de nombreuses actions – et potentiellement dangereuses -, y compris la possibilité d’exécuter la commande « cmd /c » avec des paramètres donnés, de lancer des fichiers binaires exécutables, de télécharger des données de Dropbox sur l’appareil infecté (Windows), de supprimer des données sur le système, exfiltrer des informations système ou des fichiers à partir d’un répertoire spécifique, et plus encore.
Alors que les analystes sont encore en train de rassembler toutes les pièces, l’enquête d’Avast confirme que Worok est une opération personnalisée conçue pour voler des données, espionner et compromettre des victimes de haut niveau dans des régions spécifiques du monde.