Theo TechRadar, các nhà nghiên cứu đã tìm thấy bằng chứng về các tác nhân đe dọa mới đang sử dụng tệp PNG để phát tán phần mềm độc hại. Cả ESET và Avast đều xác nhận đã phát hiện một tác nhân đe dọa có tên Worok và kẻ này đang sử dụng phương pháp tấn công mới này kể từ đầu tháng 9/2022.
Nạn nhân mà Worok nhắm vào đều có mức độ ảnh hưởng nhất định, chẳng hạn như các tổ chức chính phủ, nằm trên khắp các vùng lãnh thổ Trung Đông, Đông Nam Á và Nam Phi.
Phương pháp tấn công mới là một quá trình gồm nhiều giai đoạn, trong đó các tác nhân đe dọa sử dụng DLL sideloading để thực thi phần mềm độc hại CLRLoader, từ đó tải tệp PNGLoader DLL, có khả năng đọc mã ẩn trong tệp PNG.
Sau đó, mã ẩn được dịch thành DropBoxControl, lưu trữ tệp Dropbox để liên lạc và đánh cắp dữ liệu. Phần mềm độc hại này có thể thực thi nhiều lệnh tấn công trên máy tính của nạn nhân, trong đó có hành động thực thi cmd /c, khởi chạy tệp thực thi, tải xuống và tải lên dữ liệu đến và đi từ Dropbox, xóa dữ liệu khỏi thiết bị đầu cuối, thiết lập thư mục mới và trích xuất thông tin hệ thống.
Qua phương pháp tấn công này, các nhà nghiên cứu cảnh báo người dùng nên cẩn trọng với những email lạ có đính kèm hình ảnh PNG, hoặc không tải xuống những hình ảnh từ những trang web đen để tránh bị đánh cắp thông tin.