اخیرا مجرمین سایبری به راه منحصر به فردی برای پخش بدافزار Powload با کمک Steganography دست یافتهاند تا سیستم هدف را آلوده سازند. فعالیت انتشار بدافزار Powload از سال 2018 از طریق تکنیکهای بدون فایل (Fileless) و سرقت اکانتهای ایمیل جهت ارائهی بدافزارهای سرقت اطلاعات، نظیر Emotet و Ursnif صورت میگیرد. اما در حملات اخیر تکنیکهای Steganography به کار گرفته شد و مهاجمین از روش بدون فایل (دامنهی آلودهسازی ساده) که با افزودن مراحل اضافی تغییر یافته است، صرف نظر کردند، تا بدافزاری را پخش کنند که به شناسایی نشدن آن کمک مینماید.
روش کار بدافزار Powload
Steganography روشی برای مخفی نمودن کد مخرب درون عکسی است که عمدتا توسط Exploit Kitها به کار گرفته میشود و مورد استفادهی مهاجمین قرار میگیرد تا Malvertising Traffic را پنهان نمایند. معمولا مهاجمین از این تکنیک منحصر به فرد استفاده میکنند تا بدافزارهای شناخته شدهای مانند Ursnif و Bebloh را با استفاده از Steganography در مراحل آلوده سازی، فعال و اجرا نمایند.
رویکرد Powload در استفاده از Steganography
در این مورد بدافزار Powload از یک اسکریپت با دسترسی عمومی به نام «Invoke-PSImage» استفاده مینماید که به جاسازی اسکریپتهای مخرب در پیکسلهای یک فایل PNG کمک میکند. بعدها مهاجمین با استفاده از گروههای ایمیل اسپم که حاوی سندی با کدهای Macroی مخرب جاسازیشده بود، به قربانیها دست یافتند. در این مورد مهاجمین با استفاده از تکنیکهای مهندسی اجتماعی مختلف کاربر را فریب میدهند که Attachment را دانلود و روی آن کلیک کند.
زمانی که قربانیان روی مستند کلیک کنند، اسکریپت PowerShell اجرا شده و تصویر محتوی کد مخرب که به صورت آنلاین وجود دارد، دانلود میگردد. در این مورد کد مخرب تنها زمانی اجرا میگردد که مکان ماشین آلوده xlCountrySetting معادل با 81 (ژاپن) یا 82 (کره) باشد. این امر با کمک یک ابزار رایگان (hxxp://ipinfo.io/country) قابل تحقق است تا IP مربوطه مشخص شود مربوط به کدام کشور است. انگیزهی اصلی این کمپین سرقت اطلاعات حیاتی کاربران است، اما محققین عقیده دارند که Powload، Payload را نیز پخش میکند که عملیات مخرب دیگری را اجرا نماید.