Un grupo de ciberespionaje esconde malware en archivos de imagen PNG

Rubén Castro, 14 noviembre 2022

Ya han comenzado las ofertas de verano de AliExpress con ofertas de hasta el 70% en los mejores productos y cupones de descuento:

  • ESSS04: 4€ de descuento con EUR29 de compra mínima
  • ESSS08: 8€ de descuento con EUR59 de compra mínima
  • ESSS12: 12€ de descuento con EUR89 de compra mínima
  • ESSS18: 18€ de descuento con EUR129 de compra mínima
  • ESSS25: 25€ de descuento con EUR179 de compra mínima
  • ESSS40: 40€ de descuento con EUR269 de compra mínima
  • ESSS80: 80€ de descuento con EUR499 de compra mínima

Ver las mejores ofertas

Los investigadores en el campo de la seguridad de la información han descubierto una nueva forma de software malicioso que explota métodos de esteganografía. Al parecer, Worok es una sofisticada operación de ciberespionaje, cuyas distintas fases son todavía, en cierta medida, un misterio. El objetivo final de la operación, en cambio, ha sido comprobado por las dos empresas de seguridad.


Worok utiliza técnicas de esteganografía para ocultar partes de la carga útil final del malware en un archivo de imagen PNG estándar. Este malware de múltiples etapas está diseñado para robar datos y comprometer a víctimas de alto perfil. ESET fue la empresa que hizo el descubrimiento inicial del nuevo malware en septiembre.

Según la empresa, Worok es un nuevo grupo de ciberespionaje que utiliza métodos no documentados, como un procedimiento de esteganografía diseñado para extraer una carga útil maliciosa de un archivo de imagen PNG simple. Esta información se obtuvo de la empresa. La fotografía en cuestión puede verse aquí en su forma original.

Los operadores de Worok buscaban víctimas de alto perfil, incluyendo entidades gubernamentales, con un énfasis particular en Oriente Medio, el Sudeste Asiático y Sudáfrica como sus principales regiones de operación. ESET sólo tenía un conocimiento limitado de la cadena de asalto de la amenaza, pero una reciente investigación de Avast ha proporcionado ahora información adicional sobre esta operación.

Avast cree que Worok oculta sus operaciones mediante el uso de una sofisticada arquitectura de múltiples etapas. Una vez instalado, el primer paso utiliza la carga lateral de DLL para ejecutar el malware CLRLoader dentro de la memoria. El mecanismo utilizado para acceder a las redes sigue siendo un misterio. Después, el módulo CLRLoader se utiliza para ejecutar el módulo DLL de la segunda etapa, que se llama PNGLoader, y extrae determinados bytes que están ocultos dentro de los archivos de imagen PNG. Estos bytes se utilizan en el proceso de juntar dos archivos ejecutables.

El método de esteganografía conocido como codificación de bits menos significativos fue el que utilizó Worok. Este método consiste en ocultar pequeños trozos de código dañino en los “bits más bajos” de determinados píxeles de una imagen para poder recuperarlos posteriormente.

La primera carga útil que puede ocultarse mediante esta técnica es un script de PowerShell, aunque ni ESET ni Avast han conseguido obtener una muestra del mismo hasta el momento. La segunda carga útil es un módulo único de robo de información y puerta trasera llamado DropBoxControl. Esta rutina fue escrita en .NET C# y estaba destinada a recibir comandos remotos de una cuenta de Dropbox que ha sido secuestrada.

DropBoxControl puede llevar a cabo una gran variedad de operaciones, algunas de las cuales pueden ser perjudiciales para el sistema. Estas operaciones incluyen la capacidad de ejecutar el comando “cmd /c” con los parámetros especificados, lanzar archivos binarios ejecutables, descargar datos de Dropbox al dispositivo infectado (Windows), eliminar datos del sistema, exfiltrar información del sistema o archivos de un directorio concreto, y mucho más.

Una operación única diseñada para robar datos, espiar y comprometer a víctimas de alto nivel en regiones específicas del mundo es lo que es Worok, según las conclusiones de una investigación realizada por Avast. Los analistas están juntando todas las piezas, pero este hecho ha quedado establecido.

Rubén Castro

Redactor

Apasionado de explorar y diseccionar lo último en tecnología. Tengo mucha experiencia en el mundo de los ordenadores y el gaming, aunque también me gustan todos los tipos de gadgets.

Consentimiento