PAINNOMORE
Ветеран
PAINNOMORE
Ветеран
- Статус
- Offline
- Регистрация
- 3 Ноя 2022
- Сообщения
- 573
- Реакции
- 4
- Покупки через Гарант
- 0
- Продажи через Гарант
- 0
Исследователи из ИБ-компании Avast заявили , что недавно обнаруженная группировка Worok распространяет стеговредоносное ПО , чтобы незаметно украсть конфиденциальные данные.
Хакеры используют технологию DLL Side-Loading при получении первоначального доступа для установки вредоносного ПО CLRLoad, которое затем запускает PNGLoader. CLRLoader — это DLL-файл, который использует метод DllMain для загрузки следующего этапа - .NET-варианта PNGLoader.
PNGLoader — это загрузчик, который извлекает байты из PNG-файла и реконструирует их в исполняемый код. PNGLoader представляет собой DLL-файл на базе .NET, обфусцированный с помощью .NET Reactor. Описание файла имитирует описание легитимного ПО. В исследуемом случае PNG-файлы находились в папке «C:\Program Files\Internet Explorer», поэтому изображение не привлекает внимания.
Эта новая вредоносная программа под кодовым названием «DropboxControl» представляет собой имплантат для кражи информации, который использует учетную запись Dropbox для управления и контроля, позволяя хакеру загружать и скачивать файлы в определенные папки, а также выполнять команды, присутствующие в определенном файле.
Некоторые из команд позволяют:
Хакеры используют технологию DLL Side-Loading при получении первоначального доступа для установки вредоносного ПО CLRLoad, которое затем запускает PNGLoader. CLRLoader — это DLL-файл, который использует метод DllMain для загрузки следующего этапа - .NET-варианта PNGLoader.
PNGLoader — это загрузчик, который извлекает байты из PNG-файла и реконструирует их в исполняемый код. PNGLoader представляет собой DLL-файл на базе .NET, обфусцированный с помощью .NET Reactor. Описание файла имитирует описание легитимного ПО. В исследуемом случае PNG-файлы находились в папке «C:\Program Files\Internet Explorer», поэтому изображение не привлекает внимания.
Эта новая вредоносная программа под кодовым названием «DropboxControl» представляет собой имплантат для кражи информации, который использует учетную запись Dropbox для управления и контроля, позволяя хакеру загружать и скачивать файлы в определенные папки, а также выполнять команды, присутствующие в определенном файле.
Некоторые из команд позволяют:
- запускать произвольные исполняемые файлы;
- загружать и выгружать данные;
- удалять и переименовывать файлы;
- собирать информацию о файлах;
- анализировать сетевые соединения;
- удалять системные метаданные.
