Worok 威胁组利用 PNG 图像隐藏恶意软件

关键要点

• Worok 威胁组使用 PNG 图像隐藏信息窃取恶意软件。
• 该组可能利用 DLL 侧载技术进行 CLRLoader 恶意软件加载。
• 使用了隐写技术将恶意软件嵌入 PNG 图像中。
• PNGLoader 内含 PowerShell 脚本和自定义的 C# 信息窃取工具 DropBoxControl。

Worok 威胁组已被 Avast 研究人员确认利用 PNG 图像作为隐藏信息窃取恶意软件的一种手段。这一发现印证了 ESET之前的研究，怀疑该组使用类似的攻击方式。根据 Avast 的报告，尽管对 Worok 所采取的网络入侵手法仍存疑虑，但该组织被认为使用了 DLL侧载技术来促成 CLRLoader 恶意软件加载器在内存中的执行。

报告显示，第二阶段的 DLL PNGLoader 是通过 CLRLoader 加载的，以便提取嵌入在 PNG图像中的字节，进而创建两个可执行文件。Worok 使用了最不显著位编码隐写技术将恶意软件隐藏在 PNG 图像中，PNGLoader被发现包含了一个作为初始有效载荷的 PowerShell 脚本以及一个自定义的 .NET C# 信息窃取工具 DropBoxControl。

DropBoxControl 具有多种功能，包括执行“cmd /c”命令、下载执行、以及对 DropBox数据的上传和下载。它还支持数据删除、重命名和外泄，同时创建后门目录。

功能 | 说明
—|—
cmd /c 执行 | 允许系统命令的执行
下载执行 | 用于下载和执行恶意软件
DropBox 数据处理 | 管理 DropBox 中的数据，包括上传和下载
数据管理 | 数据的删除、重命名及外泄
创建后门目录 | 为攻击者创造进一步的访问渠道

对于网络安全防护者和企业而言，提高对这种新型攻击方式的警惕性至关重要。相关联的链接也可以帮助进一步了解和防范此类攻击：
、
。