ESET et Avast ont tous deux confirmé que le malware connu sous le nom de Worok a causé des surprises désagréables à beaucoup depuis le début du mois de septembre 2022, car le nouveau virus a infecté de nombreuses machines en utilisant la méthode de masquage des programmes malveillants dans les fichiers PNG.
L’attaque est basée sur un processus en plusieurs étapes : la DLL du malware utilise le chargement de page pour exécuter le malware CLLRoader, qui charge la DLL PNGLoader, qui lit finalement le code malveillant caché dans les fichiers PNG.
Au fait, le code est DropBoxControl, qui est un infostealer .NET C # personnalisé, c’est tout le programme communique en utilisant le fournisseur de stockage Dropbox et vole également des données. Malheureusement, ce malware prend en charge de nombreuses commandes, y compris l’exécution de cmd /c, peut lancer des fichiers exécutables. De plus, il peut charger et télécharger des données vers et depuis Dropbox.
De plus, si cela ne suffisait pas, il peut également supprimer les données des machines infectées, mais il peut également créer de nouveaux répertoires pour des portes dérobées supplémentaires, et en comparaison, c’est presque rien qu’il puisse extraire toutes les informations système de la machine.
Selon les experts, Worok est l’œuvre d’un groupe de cyberespionnage et utilise ses propres outils de développement pour créer des virus, c’est pourquoi il se peut que des victimes plus connues aient été principalement infectées, telles que des organisations gouvernementales au Moyen-Orient, en Asie du Sud-Est et Afrique du Sud.
