Um grupo de ameaças rastreado como ‘Worok’ utiliza esteganografia para ocultar malware em imagens PNG para infectar seus alvos. Isso foi confirmado por pesquisadores da Avast, que se basearam nas descobertas da ESET, a primeira a identificar e relatar a atividade da Worok no início de setembro de 2022.

O Worok tinha como alvo vítimas de alto perfil, incluindo entidades governamentais no Oriente Médio, Sudeste Asiático e África do Sul, mas sua visibilidade na cadeia de ataques do grupo era limitada.

Embora o método usado para violar as redes permaneça desconhecido, a Avast acredita que o Worok provavelmente usa o sideload de DLL para executar o carregador de malware CLRLoader na memória. Isso é baseado em evidências de máquinas comprometidas, onde os pesquisadores da Avast encontraram quatro DLLs contendo o código CLRLoader.

Em seguida, o CLRLoader carrega a DLL de segundo estágio (PNGLoader), que extrai bytes incorporados em arquivos PNG e os usa para montar dois executáveis. A esteganografia oculta o código dentro de arquivos de imagem que parecem normais quando abertos em um visualizador de imagens.