กลุ่มแฮ็กเกอร์ที่ชื่อว่า Worok ใช้วิธีการซ่อนมัลแวร์ภายในรูปภาพ PNG เพื่อแพร่กระจาย และขโมยข้อมูลจากเครื่องของเหยื่อ โดยไม่ทำให้ถูกตรวจจับได้จากซอฟแวร์ด้านความปลอดภัย

เหตุการณ์ดังกล่าวได้รับการยืนยันจากนักวิจัยของ Avast ซึ่งนำข้อมูลอ้างอิงที่ได้จากการค้นพบมัลแวร์ในครั้งแรกของบริษัท ESET เมื่อต้นเดือนกันยายน 2022

โดย ESET เคยเตือนว่ากลุ่ม Worok มุ่งเป้าไปยังเหยื่อระดับสูง ซึ่งรวมถึงหน่วยงานของรัฐบาลในตะวันออกกลาง เอเชียตะวันออกเฉียงใต้ และแอฟริกาใต้

รายงานของ Avast ซึ่งอ้างอิงจากหลักฐานที่ได้จากการวิเคราะห์การโจมตีของกลุ่ม Worok ซึ่งยืนยันสมมติฐานของ ESET เกี่ยวกับพฤติกรรมของการใช้ไฟล์ PNG และข้อมูลใหม่ของมัลแวร์เพย์โหลด รวมไปถึงวิธีการในการขโมยข้อมูลออกไป

การซ่อนมัลแวร์ในไฟล์ PNG

แม้ยังไม่ทราบถึงวิธีการในการเจาะเข้าสู่เครือข่าย แต่ Avast เชื่อว่า Worok มีแนวโน้มที่จะใช้วิธีการ DLL sideloading เพื่อรัน malware CLRLoader ลงในหน่วยความจำ

อ้างอิงจากหลักฐานจากเครื่องที่ถูกโจมตี ซึ่งนักวิจัยของ Avast พบ DLL สี่ตัวที่มีรหัส CLRLoaderถัดมา CLRLoader จะทำการโหลด DLL ถัดไป (PNGLoader) ซึ่งถูกแยกส่วน และฝังอยู่ในไฟล์ PNG จากนั้นจะนำไปสู่การเรียกใช้งานไฟล์ติดตั้ง 2 ไฟล์

 

การซ่อน payload ใน PNGs

Steganography คือการซ่อนโค้ดภายในไฟล์ภาพที่ดูเหมือนปกติเมื่อถูกเปิดในโปรแกรมดูรูปภาพ

ในเคสของ Worok, Avast ระบุว่าผู้โจมตีใช้เทคนิคที่เรียกว่า "least significant bit (LSB) encoding" ซึ่งใช้การฝัง code ที่เป็นอันตรายขนาดเล็กลงในบิตที่มีความสำคัญน้อยที่สุดในพิกเซลของภาพ

Payload แรกที่แยกจากบิตเหล่านั้นโดย PNGLoader คือ PowerShell script ที่ทั้ง ESET และ Avast ไม่สามารถดึงข้อมูลออกมาได้

Payload ที่สองที่ซ่อนอยู่ในไฟล์ PNG คือ .NET C# info-stealer (DropBoxControl) ที่ถูกสร้างขึ้นเอง และใช้ DropBox เป็น C2 server, เก็บข้อมูลที่ถูกขโมยออกมา และอื่น ๆ

การโจมตีด้วย DropBox

มัลแวร์ 'DropBoxControl' จะใช้บัญชี DropBox ที่ถูกควบคุมโดยผู้โจมตีเพื่อรับข้อมูล และคำสั่ง หรืออัปโหลดไฟล์จากเครื่องที่ถูกโจมตี

คำสั่งจะถูกเก็บไว้ในไฟล์ที่เข้ารหัสบน DropBox ของผู้โจมตี และมัลแวร์จะรอรับคำสั่งเป็นระยะ ๆ เพื่อดำเนินการต่อไป

คำสั่งที่กำหนดไว้มีดังนี้:

เรียกใช้ "cmd /c" ด้วยพารามิเตอร์ที่กำหนด
ดำเนินการ หรือรันด้วยพารามิเตอร์ที่กำหนด
ดาวน์โหลดข้อมูลจาก DropBox ไปยังอุปกรณ์
อัปโหลดข้อมูลจากอุปกรณ์ไปยัง DropBox
ลบข้อมูลในระบบของเหยื่อ
เปลี่ยนชื่อข้อมูลในระบบของเหยื่อ
แยกข้อมูลไฟล์จากไดเร็กทอรีที่กำหนด
ตั้งค่าไดเร็กทอรีใหม่สำหรับแบ็คดอร์
ดึงข้อมูลระบบ
อัปเดตการตั้งค่าของแบ็คดอร์

Function เหล่านี้บ่งชี้ว่า Worok เป็นกลุ่มอาชญากรทางอินเทอร์เน็ตที่เน้นไปที่การขโมยข้อมูล และพยายามเจาะไปยังระบบอื่น ๆ บนเครือข่ายของเหยื่อ และแอบแฝงตัวอยู่บนระบบที่ถูกโจมตี

Avast ระบุว่าเครื่องมือที่ถูกใช้โดย Worok นั้นไม่ได้ถูกนำมาใช้อย่างแพร่หลาย ดังนั้นจึงมีแนวโน้มว่าเครื่องมือเหล่านี้จะถูกสร้างขึ้นมา และนำใช้ภายในกลุ่มดังกล่าวเท่านั้น

 

ที่มา : bleepingcomputer

Google ออกแพทช์เพื่ออุดช่องโหว่งร้ายแรงสำหรับระบบปฎิบัติการแอนดรอยด์ โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถอาศัยไฟล์ภาพที่ (PNG) โดยทำการสร้างไฟล์ภาพอันตรายที่มีการแฝง code และส่งไปยังเครื่องเหยื่อ

การอัพเดทด้านความปลอดภัยของ Android ประจำเดือนกุมภาพันธ์ (February Android Security) Google ได้เปิดเผยว่ามีช่องโหว่ร้ายแรง 3 ตัว (CVE-2019-1986, CVE-2019-1987, CVE2019-1988) โดยหนึ่่งในนั้นเป็นช่องโหว่ .PNG โดยส่งผลกระทบกับระบบปฎิบัติการแอนดรอยด์ ตั้งแต่ Nougat(7.0) จนถึงปัจจุบัน(9.0) รวมแล้วการประกาศประจำเดือนนี้เป็นช่องโหว่ที่มีระดับความร้ายแรง (Critical) ทั้งหมด 11 รายการ และมี 3 รายการที่เป็นช่องโหว่เกี่ยวกับ Framework และจากช่องโหว่ที่ถูกแก้ไขแล้ว 42 รายการ มี 30 รายการที่ถูกจัดความรุนแรงอยู่ในระดับสูง (high) ทั้งนี้คำอธิบายรายละเอียดของช่องโหว่ คาดว่าจะถูกเปิด เผยในภายหลัง

ที่มา: threatpost.