Il gruppo hacker Worok usa la steganografia per nascondere malware nei file PNG

Il gruppo hacker Worok usa la steganografia per nascondere malware nei file PNG

Un gruppo hacker di alto profilo, che prende di mira realtà governative, utilizza una tecnica per nascondere frammenti di malware all'interno di immagini PNG

di pubblicata il , alle 08:31 nel canale Web
 

Un gruppo hacker identificato con il nome di "Worok" ha ideato una tecnica per occultare malware all'interno di immagini PNG così da poter compromettere un sistema senza innescare alcun allarme. La scoperta è stata fatta dai ricercatori di sicurezza di Avast, grazie ad un precedente lavoro di ESET che per prima ha individuato l'attività di Worok all'inizio di settembre.

Durante le indagini di ESET è emerso come Worok abbia preso di mira bersagli di alto profilo, tra cui realtà governative nel Medio Oriente, in Sud-Est asiatico e in Sud Africa. Al momento delle analsi di ESET, però, era stato difficile riuscire a far luce sulle modalità e tecniche di attacco del gruppo hacker.

Partendo dagli elementi emersi durante le analisi di ESET, Avast ha portato avanti il lavoro riuscendo a confermare quanto ipotizzato in precedenza, e cioè l'uso di immagini PNG come vettore di attacco. Al momento resta ignoto il metodo che Worok usa per violare la sicurezza della rete, ma Avast ritiene che vi sia un'elevata probabilità di impiego di tecniche di sideloading DDL per eseguire CRLLoader.

Una volta che gli aggressori sono riusciti a violare la rete, tramite CRLLoader viene caricata una seconda DLL, PNGLoader, che avrà il compito di estrarre le informazioni nascoste nei file PNG ed assemblarle per costruire due eseguibili.

Il codice dannoso viene nascosto all'interno dei file PNG utilizzando tecniche di steganografia, così che le immagini appaiano come tali quando sono visualizzate con strumenti ordinari. Nel caso particolare del malware di Worok la tecnica utilizzata prende il nome di Least Significant Bit Encoding e si basa sull'inserimento di piccoli frammenti di codice nei bit meno importanti dei pixel d'immagine.

Una volta che il codice è stato estratto e assemblato, sulla macchina presa di mira si trovano eseguibili che consentono di sottrarre informazioni e inviarle in forma di archivio in un account Dropbox controllato da Worok.

Avast osserva che gli strumenti che sono stati osservati durante le analisi  non sono liberamente disponibili sulla rete, e sono quindi probabilmente ad utilizzo esclusivo di Worok.

I migliori sconti su Amazon oggi
-14%

Apple Portatile MacBook Air 13'' con chip M4 (2025): progettato per Apple Intelligence, display Liquid Retina da 13,6'', 16GB di memoria unificata, 256GB di archiviazione SSD, Touch ID; Argento

1149.00 992.99 Compra ora
-14%

HP 250R G9, Computer Portatile Notebook, Intel i5-1334u 10 Core 3.4Ghz, Display 15.6'' FHD, Ram 32GB, SSD 1000GB, Windows 11

529.00 Compra ora
-27%

FRITZ!Repeater 1200 AX Edition International, Ripetitore - Wi-Fi 6 extender Dual Band con 2.400 Mbit/s (5 GHz) & 600 Mbit/s (2,4 GHz), Mesh, Access Point, 1x Gigabit LAN, Interfaccia in italiano

95.99 69.90 Compra ora
7 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Saturn11 Novembre 2022, 08:43 #1
Pensa tu cosa si riescono a inventare per delinquere.

Se tutte queste energie e capacità le dedicassero alla collettività sarebbe un mondo migliore.
DevilsAdvocate11 Novembre 2022, 09:00 #2
Originariamente inviato da: Saturn
Pensa tu cosa si riescono a inventare per delinquere.

Se tutte queste energie e capacità le dedicassero alla collettività sarebbe un mondo migliore.


Non è nemmeno così esagerata come tecnica, nascondono un programma nel bit meno significativo di ogni pixel e poi lo decodificano sono in parti (per non avere in memoria qualcosa di rilevabile dall'antivirus). Fare la scansione sui png è inutile, ma una volta noti gli algoritmi di clrloader e pngloader qualsiasi antivirus potrà bloccarli (in particolare il pngloader deve utilizzare algoritmi simili a quelli dei debugger per far eseguire codice esterno, e penso sia rilevabile anche se da sviluppatore temo i falsi allarmi)
euscar11 Novembre 2022, 09:03 #3
Originariamente inviato da: Saturn
Pensa tu cosa si riescono a inventare per delinquere.

Se tutte queste energie e capacità le dedicassero alla collettività sarebbe un mondo migliore.


Pura utopia.
E' nella natura stessa dell'essere umano sopraffare e cercare di fregare gli altri ... anche tra le persone più oneste c'è chi cade in tentazione quando capita l'occasione giusta.
Non per niente esiste il noto proverbio L'occasione fa l'uomo ladro
Saturn11 Novembre 2022, 09:40 #4
Originariamente inviato da: euscar
Pura utopia.
E' nella natura stessa dell'essere umano sopraffare e cercare di fregare gli altri ... anche tra le persone più oneste c'è chi cade in tentazione quando capita l'occasione giusta.
Non per niente esiste il noto proverbio L'occasione fa l'uomo ladro


Un conto è una volta ogni tanto, per l'appunto l'occasione, un conto è proprio farlo di mestiere !
silvanotrevi11 Novembre 2022, 13:41 #5
cioè fatemi capire, ma quindi se uno si scarica una foto porno in PNG ad esempio di Jennifer Lawrence o altra bonazza e poi la apre, per il semplice fatto di aprirla e visualizzarla anche per poco tempo, già ti hanno hackerato il computer? Bella roba, siamo fritti. Praticamente non puoi fare proprio più nulla oggi, sei continuamente esposto in ogni modo ad attacchi
biometallo11 Novembre 2022, 14:20 #6
Originariamente inviato da: silvanotrevi
una foto porno in PNG e poi la apre, per il semplice fatto di aprirla e visualizzarla anche per poco tempo, già ti hanno hackerato il computer?


Segati sui Jpeg così risparmi anche spazio...

Scherzi a parte no, da quello che ho capito non è proprio così, aprire le immagini non fa alcuna differenza ne è pericoloso, dato che quando apri tali png con il tuo visualizzatore di immagini appariranno semplicemente come immagini normali... tuttavia quando è il programma malevolo ad aprirle a tua insaputa dentro ci troverà le informazioni per compiere gli attacchi:

Insomma come un ladro che nasconde le sue attrezzature da scasso in un luogo insospettabile, che so, il solaio di un convento, quando la polizia (antivairus) perquisisce casa sua non nota nulla di sospetto, poi il ladro quando a bisogno delle sue attrezzatture gli basta recuperarle nel convento e fare i suoi attacchi...

Credo che un esempio più concreto potrebbe essere un gioco scaricato da internet, nell'exe c'è il virus, ma parte del suo codice sono nascosti all'interno dei file PNG del gioco... quando lanci l'exe il virus prima andrà ad aprile la dll che gli serve per leggere i file png e poi andrà a recuperare "gli strumenti da scasso" nascosti nei file png...
WarDuck11 Novembre 2022, 18:23 #7
Originariamente inviato da: silvanotrevi
cioè fatemi capire, ma quindi se uno si scarica una foto porno in PNG ad esempio di Jennifer Lawrence o altra bonazza e poi la apre, per il semplice fatto di aprirla e visualizzarla anche per poco tempo, già ti hanno hackerato il computer? Bella roba, siamo fritti. Praticamente non puoi fare proprio più nulla oggi, sei continuamente esposto in ogni modo ad attacchi


Non è così, a meno di falle nel lettore PNG. Ho letto velocemente, anche i commenti e mi pare di capire che la PNG sia solo il contenitore del malware. Poi hai bisogno di qualcuno che prenda quelle informazioni codificate e le riassembli per eseguirle.

Comunque, niente di nuovo sotto il sole, l'eterna lotta tra bene e male

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^