Share

Awas! Kelompok Hacker Worok Sembunyikan Malware di Gambar PNG

Maryam Nurfauziah, Jurnalis · Senin 14 November 2022 18:08 WIB
https: img.okezone.com content 2022 11 14 54 2707312 awas-kelompok-hacker-worok-sembunyikan-malware-di-gambar-png-mNk82io5vL.jpg Awas! Kelompok hacker Worok sembunyikan malware di gambar PNG (Foto: Istimewa)

JAKARTA - Kelompok hacker yang dikenal sebagai โ€˜Worokโ€™ telah menyembunyikan malware di dalam gambar PNG, tujuannya mencuri data dan membahayakan dengan target korban kelas atas.

Para peneliti telah menemukan bukti kelompok hacker ini yang menggunakan file PNG untuk mengirimkan muatan berbahaya.

Dilansir dari TechRadar, Senin (14/11/2022), ESET dan Avast telah menemukan kelompok hacker Worok yang ternyata telah menggunakan metode ini sejak awal September 2022.

Rupanya, Worok sibuk menyasar para korban kelas atas, seperti organisasi pemerintah, dengan fokus khusus di Timur Tengah, Asia Tenggara, dan Afrika Selatan.

Avast menyampaikan, Worok menggunakan serangan multi-tahap yang rumit untuk menyembunyikan aktivitasnya. Metode yang digunakan untuk menembus jaringan masih belum diketahui, setelah digunakan, tahap pertama menyalahgunakan DLL sideloading untuk mengeksekusi malware CLRLoader di memori.

Modul CLRLoader kemudian digunakan untuk mengeksekusi modul DLL tahap kedua (PNGLoader), yang mengekstrak kode tertentu yang tersembunyi di dalam file gambar PNG. Kode tersebut digunakan untuk mengumpulkan dua file yang dapat dieksekusi.

Kode itu diterjemahkan menjadi DropBoxControl, sebuah infostealer .NET C# khusus yang menyalahgunakan hosting file Dropbox untuk komunikasi dan pencurian data.

Malware ini tampaknya mendukung banyak perintah, termasuk menjalankan cmd /c, meluncurkan file yang dapat dieksekusi, mengunduh dan mengunggah data ke dan dari Dropbox, menghapus data dari titik akhir target, menyiapkan direktori baru (untuk muatan pintu belakang tambahan), dan mengekstrak informasi sistem.

Selain itu, Worok sendiri mengembangkan alatnya dan memanfaatkan alat yang sudah ada untuk mengkompromikan targetnya.

Mengingat toolkitnya, para peneliti percaya Worok adalah karya kelompok cyberespionage yang bekerja secara diam-diam, suka bergerak secara lateral melintasi jaringan target, dan mencuri data sensitif.

Worok menggunakan "least significant bit (LSB) encoding", menyematkan potongan-potongan kecil kode berbahaya di bit yang paling tidak penting dari piksel gambar.

Steganografi tampaknya semakin populer sebagai taktik kejahatan dunia maya. Dalam nada yang sama, peneliti dari Check Point Research (CPR) baru-baru ini menemukan paket berbahaya pada repositori PyPI berbasis Python yang menggunakan gambar untuk mengirimkan malware Trojan. Disebut apicolor, sebagian besar menggunakan GitHub sebagai metode distribusi.

Paket yang tampaknya jinak mengunduh gambar dari web, dan kemudian menginstal alat tambahan yang memproses gambar, dan kemudian memicu keluaran pemrosesan yang dihasilkan menggunakan perintah exec.

Salah satu dari dua persyaratan tersebut adalah kode judyb, modul steganografi yang mampu mengungkap pesan tersembunyi di dalam gambar. Itu membawa para peneliti kembali ke gambar asli yang ternyata mengunduh paket berbahaya dari web ke titik akhir korban.

1
2

Berita Terkait

Bagikan Artikel Ini

Cari Berita Lain Di Sini