Awas! Kelompok Hacker Worok Sembunyikan Malware di Gambar PNG : Okezone techno

JAKARTA – Grup peretas dikenal sebagai “Workok” telah menyembunyikan malware dalam gambar PNG yang bertujuan untuk mencuri data dan membahayakan korban target kelas atas.

Para peneliti telah menemukan bukti bahwa grup peretasan ini menggunakan file PNG untuk mengirimkan muatan berbahaya.

Menurut TechRadar, pada Senin (14/11/2022) ESET dan Avast menemukan grup peretasan Worok yang menggunakan metode ini sejak awal September 2022.

Rupanya, Worok sibuk menyasar para korban kelas atas seperti organisasi pemerintah, dengan fokus khusus di Timur Tengah, Asia Tenggara, dan Afrika Selatan.

Menurut Avast, Worok menggunakan serangan multi-tahap yang kompleks untuk menyembunyikan aktivitasnya. Metode yang digunakan untuk menembus jaringan masih belum diketahui. Setelah digunakan, tahap pertama adalah menyalahgunakan DLL sideloading untuk menjalankan malware CLRLLoader di memori.

Modul CLRLloader kemudian digunakan untuk menjalankan modul DLL tahap kedua (PNGLoader) yang mengekstraksi kode tertentu yang disembunyikan dalam file gambar PNG. Kode ini digunakan untuk mengumpulkan dua file yang dapat dieksekusi.

Kode ini diterjemahkan ke dalam DropBoxControl, infostealer .NET C# khusus yang menyalahgunakan hosting file Dropbox untuk komunikasi dan pencurian data.

Malware tampaknya mendukung banyak perintah termasuk menjalankan cmd / c, meluncurkan file yang dapat dieksekusi, mengunduh dan mengunggah data ke dan dari Dropbox, menghapus data dari titik akhir target, menyiapkan direktori baru (untuk muatan pintu belakang tambahan) dan mengekstraksi informasi sistem.

Selain itu, Worok mengembangkan alatnya sendiri dan menggunakan alat yang ada untuk mengkompromikan targetnya.

Mengingat toolkitnya, para peneliti percaya Worok adalah karya kelompok cyberespionage yang bekerja secara diam-diam, suka bergerak menyamping di jaringan target dan mencuri data sensitif.

Worok menggunakan pengkodean Least Significant Bit (LSB), menyematkan potongan kecil kode berbahaya dalam bit piksel gambar yang paling tidak signifikan.

Steganografi tampaknya semakin populer sebagai taktik kejahatan dunia maya. Sejalan dengan itu, para peneliti di Check Point Research (CPR) baru-baru ini menemukan paket berbahaya dalam repositori PyPI berbasis Python yang menggunakan gambar untuk menyebarkan malware Trojan horse. Disebut apicolor, kebanyakan menggunakan GitHub sebagai metode distribusi.

Paket yang tampaknya tidak berbahaya mengunduh gambar dari internet dan kemudian menginstal alat tambahan yang memproses gambar dan kemudian memicu keluaran pemrosesan yang dihasilkan dengan perintah exec.

Salah satu dari dua persyaratan tersebut adalah kode Judyb, sebuah modul steganografi yang mampu mengungkap pesan yang tersembunyi di dalam gambar. Itu membawa para peneliti kembali ke gambar asli, yang tampaknya telah mengunduh paket jahat dari Internet ke titik akhir korban.