TechRadar dẫn nguồn báo cáo từ ESET và Avast cho biết, các nhà nghiên cứu bảo mật tại đây đã tìm thấy bằng chứng về các tác nhân đe dọa mới đang sử dụng ảnh PNG để phát tán phần mềm độc hại.
Tác nhân đe doạ có tên Worok đã được cả hai công ty bảo mật ESET và Avast xác nhận, đồng thời cho biết kẻ đứng sau chiến dịch đã sử dụng phương pháp tấn công này kể từ đầu tháng 9/2022. Nạn nhân mà Worok nhắm vào là các khu vực và vùng lãnh thổ Trung Đông, Đông Nam Á và Nam Phi.
Phương pháp tấn công mà tin tặc sử dụng là một quá trình gồm nhiều giai đoạn, trong đó tác nhân đe dọa áp dụng kỹ thuật DLL sideloading để thực thi phần mềm độc hại CLRLoader, từ đó tải tệp PNGLoader DLL, có khả năng đọc mã ẩn trong hình ảnh PNG.
Tiếp đến, mã ẩn trong hình ảnh PNG sẽ được dịch thành DropBoxControl, lưu trữ tệp Dropbox để kết nối và đánh cắp dữ liệu.
Báo cáo cho biết, phần mềm độc hại này có thể thực thi nhiều lệnh tấn công trên máy tính của nạn nhân, bao gồm: Thực thi câu lệnh "cmd /c", khởi chạy tệp thực thi, tải xuống và tải lên dữ liệu đến và đi từ Dropbox, xóa dữ liệu khỏi thiết bị đầu cuối, thiết lập thư mục mới và trích xuất thông tin hệ thống.
Các nhà nghiên cứu cảnh báo, người dùng nên cẩn trọng với những email lạ có đính kèm hình ảnh PNG, hoặc không tải xuống những hình ảnh từ những trang web đen để tránh bị đánh cắp thông tin.
Thực tế, đây không phải lần đầy tiên các tệp hình ảnh được tin tặc cài cắm các mã độc nhằm tấn công người dùng. Trước đó, một loại mã độc xuất hiện trên Facebook dưới dạng một hình ảnh trắng định dạng .SVG được cảnh báo nguy hiểm, gây mất tài khoản khi vô tình click phải hoặc phát tán virus qua máy tính và smartphone của những người dùng khác.