JAKARTA – Grup peretas dikenal sebagai “Workok” telah menyembunyikan malware dalam gambar PNG yang bertujuan untuk mencuri data dan membahayakan korban target kelas atas.
Para peneliti telah menemukan bukti bahwa grup peretasan ini menggunakan file PNG untuk mengirimkan muatan berbahaya.
Menurut TechRadar, pada Senin (14/11/2022) ESET dan Avast menemukan grup peretasan Worok yang menggunakan metode ini sejak awal September 2022.
Rupanya, Worok sibuk menyasar para korban kelas atas seperti organisasi pemerintah, dengan fokus khusus di Timur Tengah, Asia Tenggara, dan Afrika Selatan.
Menurut Avast, Worok menggunakan serangan multi-tahap yang kompleks untuk menyembunyikan aktivitasnya. Metode yang digunakan untuk menembus jaringan masih belum diketahui. Setelah digunakan, tahap pertama adalah menyalahgunakan DLL sideloading untuk menjalankan malware CLRLLoader di memori.
Modul CLRLloader kemudian digunakan untuk menjalankan modul DLL tahap kedua (PNGLoader) yang mengekstraksi kode tertentu yang disembunyikan dalam file gambar PNG. Kode ini digunakan untuk mengumpulkan dua file yang dapat dieksekusi.
Kode ini diterjemahkan ke dalam DropBoxControl, infostealer .NET C# khusus yang menyalahgunakan hosting file Dropbox untuk komunikasi dan pencurian data.
Malware tampaknya mendukung banyak perintah termasuk menjalankan cmd / c, meluncurkan file yang dapat dieksekusi, mengunduh dan mengunggah data ke dan dari Dropbox, menghapus data dari titik akhir target, menyiapkan direktori baru (untuk muatan pintu belakang tambahan) dan mengekstraksi informasi sistem.