Badacze znaleźli dowody na to, że hakerzy wykorzystują pliki PNG do dostarczania złośliwych programów. Zarówno ESET, jak i Avast potwierdziły, że od początku września 2022 r. grupa hakerska o pseudonimie Worok wykorzystywała tę metodę. Celem były ofiary o wysokim profilu, takie jak organizacje rządowe, na Bliskim Wschodzie, w Azji Południowo-Wschodniej i Afryce Południowej.
Atak jest wieloetapowy, w którym hakerzy wykorzystują sideloading DLL do wykonania złośliwego oprogramowania CLRLoader, które z kolei ładuje PNGLoader DLL, zdolne do odczytywania zakamuflowanego kodu ukrywającego się w plikach PNG.
Kod ten przekłada się na DropBoxControl, niestandardowy infostealer .NET C#, który nadużywa hostingu plików Dropbox do komunikacji i kradzieży danych. To złośliwe oprogramowanie wydaje się obsługiwać wiele poleceń, w tym uruchamianie cmd /c, uruchamianie pliku wykonywalnego, pobieranie i wysyłanie danych do i z Dropbox, usuwanie danych z docelowych punktów końcowych, zakładanie nowych katalogów (dla dodatkowych backdoorów payload) i wydobywanie informacji systemowych. Worok używa “kodowania najmniej znaczącego bitu (LSB)”, osadzając maleńkie kawałki złośliwego kodu w najmniej ważnych bitach pikseli obrazu, jak zdiagnozowali badacze.
Steganografia wydaje się być coraz bardziej popularna jako taktyka cyberprzestępców. W podobnym duchu badacze z Check Point Research (CPR) znaleźli niedawno złośliwy pakiet na repozytorium Pythona, który wykorzystuje obraz do dostarczenia złośliwego oprogramowania trojańskiego o nazwie apicolor, w dużej mierze wykorzystującego GitHub jako metodę dystrybucji.
