يتم إخفاء الكتير من البرامج الضارة في صور PNG، لذا احترس: وجد باحثون أدلة على وجود جهات فاعلة جديدة للتهديد، تستخدم ملفات PNG لتسليم حمولات ضارة. حيث أكدت كل من ESET و Avast رؤية ممثل تهديد يحمل اسم Worok باستخدام هذه الطريقة منذ أوائل سبتمبر 2022.

على ما يبدو، كان ووروك مشغولا باستهداف الضحايا البارزين، مثل المنظمات الحكومية، في جميع أنحاء الشرق الأوسط وجنوب شرق آسيا وجنوب أفريقيا.

هجوم متعدد المراحل

الهجوم عبارة عن عملية متعددة المراحل، حيث تستخدم الجهات الفاعلة المهددة DLL sideload لتنفيذ البرامج الضارة CLRLoader التي بدورها تقوم بتحميل DLL PNGLoader ، القادرة على قراءة التعليمات البرمجية المختبئة وراء ملفات PNG.

يترجم هذا الرمز إلى DropBoxControl، وهو أداة معلوماتية مخصصة .NET C تسيء استخدام استضافة ملفات Dropbox للاتصال وسرقة البيانات. يبدو أن هذه البرامج الضارة تدعم العديد من الأوامر، بما في ذلك تشغيل cmd / c، وتشغيل ملف قابل للتنفيذ، وتنزيل البيانات وتحميلها من وإلى Dropbox، وحذف البيانات من نقاط النهاية المستهدفة ، واستخراج جميع معلومات النظام.

الأدوات الأصلية

وبالنظر إلى مجموعة أدواتها، يعتقد الباحثون أن ووروك هو عمل مجموعة تجسس إلكتروني تعمل بهدوء، وتحب التحرك أفقيا عبر الشبكات المستهدفة، وسرقة البيانات الحساسة. كما يبدو أنها تستخدم أدواتها الخاصة، حيث لم يلاحظ الباحثون استخدامها من قبل أي شخص آخر. ويقال إن ووروك يستخدم “ترميز البت الأقل أهمية (LSB)”، حيث يقوم بتضمين أجزاء صغيرة من التعليمات البرمجية الضارة في الأجزاء الأقل أهمية من وحدات بكسل الصورة.

يبدو أن إخفاء المعلومات يزداد شعبية كتكتيك للجرائم الإلكترونية. في سياق مماثل، وجد باحثون من Check Point Research (CPR) مؤخرا حزمة ضارة على مستودع PyPI المستند إلى Python تستخدم صورة لتقديم برنامج ضار من apicolor، باستخدام GitHub إلى حد كبير كطريقة توزيع. تقوم الحزمة التي تبدو أمنة بتنزيل صورة من الويب، ثم تقوم بتثبيت أدوات إضافية تعالج الصورة، ثم تقوم بتشغيل إخراج المعالجة الذي تم إنشاؤه باستخدام الأمر exec.

أحد هذين الشرطين هو رمز judyb ، وهو وحدة إخفاء قادرة على الكشف عن الرسائل المخفية داخل الصور. وأدى ذلك بالباحثين إلى العودة إلى الصورة الأصلية التي، كما اتضح، انهتقوم بتنزيل حزم ضارة من الويب إلىنقطة نهاية الضحية.

ينصح بتتبيت أفضل جدار حماية

لذيك الكثير من الخيارات المجانية والمدفوعة لأفضل برنامج جدار حماية للبقاء محميا عبر الإنترنت، لذلك فإن أفضل خدمات جدار الحماية تجعل من السهل الحماية من الإصابة بالبرامج الضارة عن طريق منع البرامج غير المصرح بها من الوصول إلى الإنترنت. يمكن أن تفتح أحصنة طروادة منافذ على أجهزة الكمبيوتر الخاصة بالمستخدمين لإرسال البيانات سراً، ويمكن أن يبحث المتشممون عن نقاط الضعف في اتصال في شبكة الواي فاي التي تكون غالبا في الأماكن العامة الذي يسمح باستغلال أجهزتهم بكل سهولة.

على الرغم من التقدم في تقنية مكافحة الفيروسات (يفتح في علامة تبويب جديدة) والبرامج الضارة (تفتح في علامة تبويب جديدة)، فقد تحسنت التكنولوجيا بشكل كبير خلال هذا الوقت، ولا تزال خدمات جدار الحماية الأفضل من المتطلبات الموصى بها لجميع مستخدمي أجهزة الكمبيوتر، مع تطور المخاطر بدلا من التوقف تماما.

في حين أن أي برنامج مكافحة فيروسات جيد يمكن أن يمنع أي نشاط ضار واضح على جهاز الكمبيوتر الخاص بك، فإن البرامج والتطبيقات في بعض الأحيان تسيء استخدام أذوناتها لإنشاء اتصالات شبكة غير مصرح بها، والتي يمكن استغلالها لجمع بيانات المستخدم على جهاز الكمبيوتر الخاص بك. هذا هو المكان الذي تلعب فيه أفضل أدوات جدار الحماية حقًا، مع الإصرار على أن برنامج الكمبيوتر الخاص بك لديه إذن صريح للاتصال بالإنترنت، أثناء حظر الهجمات عن بُعد.

بينما يتم تقديم بعض أفضل خدمات جدار الحماية كمنتجات قائمة بذاتها، فإن البعض الآخر جزء من مجموعة أمان الإنترنت لشركات مكافحة الفيروسات التي يمكنها توفير مجموعة واسعة من الحماية الإضافية. يمكن لمستخدمي الأعمال أيضًا الاستفادة من حماية جدار الحماية السحابي (يفتح في علامة تبويب جديدة)..