PNG Görsellere Gizlenen Kötü Amaçlı Yazılım Tespit Edildi
Kötü niyetli kişiler, kurbanları için yeni bir tehdit geliştirdi. PNG görsellere gizlenen yeni kötü amaçlı yazılım giderek yayılıyor. İşte detaylar!
Araştırmacılar, kötü niyetli yazılımlar yüklemek için PNG dosyalarını kullanan yeni bir kullanıcı avı tekniğini keşfetti. Hem ESET hem de Avast, Eylül 2022'nin başından bu yana Worok adındaki bu yeni tehdit yönteminin kullanıldığını doğruladı.
Görünüşe göre Worok, Orta Doğu, Güneydoğu Asya ve Güney Afrika'da devlet kurumlarındaki yüksek profilli önemli kişileri hedef almakla meşgul.
Saldırı, kötü niyetli kişilerin CLRLoader adlı kötü amaçlı yazılımını yürütmek için DLL yandan yüklemeyi kullandığı çok aşamalı bir işlemden ibaret ve bu da PNG dosyalarında gizlenmiş PNGLoader DLL dosyasının yüklenmesiyle gerçekleşiyor. Bu en basit tabirle kurbanın avına düşecek kişinin PNG dosyayı açması sonucu yaşanıyor.
Bahsi geçen kod, Dropbox dosya barındırmayı iletişim ve veri hırsızlığı için kötüye kullanan özel bir .NET C# bilgi çalma yazılımı olan DropBoxControl'e çevriliyor.
Kötü Amaçlı Yazılım Worok Neler Yapabiliyor?
Bu kötü amaçlı yazılım, cmd /c'yi çalıştırma, yürütülebilir bir dosya başlatma, Dropbox'a ve Dropbox'tan veri indirme ve yükleme, hedef uç noktalardan veri silme, yeni dizinler kurma (ek arka kapı yükleri için) ve sistem bilgilerini çıkarma dâhil olmak üzere çok sayıda komutu destekliyor.
Şimdilik kullanıcıların bu tehdide yakalanmaması için en dikkat etmesi gereken şey indirdikleri PNG görsellerin boyutuna dikkat etmeleri ancak yüksek çözünürlüklü görseller göz önüne alındığında, bu görsellerin boyutlarının da oldukça yüksek olduğu aşikâr. Yine de şu anda yaygın bir kurban avı olduğundan dikkatli olmakta fayda var.