• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Хакеры Worok шпионят за чиновниками через картинки

PAINNOMORE

Участник
Сообщения
311
Реакции
24
0 руб.
Исследователи из ИБ-компании Avast заявили , что недавно обнаруженная группировка Worok распространяет стеговредоносное ПО , чтобы незаметно украсть конфиденциальные данные.

Хакеры используют технологию DLL Side-Loading при получении первоначального доступа для установки вредоносного ПО CLRLoad, которое затем запускает PNGLoader. CLRLoader — это DLL-файл, который использует метод DllMain для загрузки следующего этапа - .NET-варианта PNGLoader.

PNGLoader — это загрузчик, который извлекает байты из PNG-файла и реконструирует их в исполняемый код. PNGLoader представляет собой DLL-файл на базе .NET, обфусцированный с помощью .NET Reactor. Описание файла имитирует описание легитимного ПО. В исследуемом случае PNG-файлы находились в папке «C:\Program Files\Internet Explorer», поэтому изображение не привлекает внимания.

Эта новая вредоносная программа под кодовым названием «DropboxControl» представляет собой имплантат для кражи информации, который использует учетную запись Dropbox для управления и контроля, позволяя хакеру загружать и скачивать файлы в определенные папки, а также выполнять команды, присутствующие в определенном файле.

Некоторые из команд позволяют:

  • запускать произвольные исполняемые файлы;
  • загружать и выгружать данные;
  • удалять и переименовывать файлы;
  • собирать информацию о файлах;
  • анализировать сетевые соединения;
  • удалять системные метаданные.
По словам Avast, DropboxControl уже затронула компании и госучреждения в Камбодже, Вьетнаме, Мексике и других странах. Развертывание DropboxControl в качестве инструмента для сбора определенных файлов и данных, представляющих интерес для злоумышленников, ясно указывает на шпионский характер кампаний Worok.
 
Сверху Снизу