​​​​​​​کدهای مخفی‌نگاری شده چگونه عمل می‌کنند؟
به گزارش قدس و به نقل از پلیس فتا، 
بر اساس ادعای کارشناسان Avast، این یافته یکی از مهم‌ترین حلقه‌های زنجیره حمله و آلوده کردن رایانه‌ها توسط مهاجمان را ثابت کرده است. مهاجمان در تصویرهای مخرب PNG یک پیلود(payload در لغت به بار و محموله‌ای سودآور می‌گویند و این نام را از این جهت برای آن انتخاب کرده‌اند که payload شامل کدهای مخرب است)مخفی می‌کنند که سرقت اطلاعات را به بهانه ارسال یک تصویر تسهیل می‌کند.
در چند ماه گذشته، شرکت امنیتی ESET جزئیات حملاتی را که گروه هکری Worok علیه چندین شرکت شناخته شده و سازمان‌های دولتی محلی در مناطقی نظیر خاورمیانه، جنوب شرقی آسیا و... انجام داده، فاش کرده است.
این گزارش حاکی است: همپوشانی‌های تاکتیکی بین مهاجمان Worok و یک گروه هکری چینی به نام TA428 وجود دارد که گمان می‌رود از تاکتیک‌های مشابهی استفاده می‌کنند. 
زنجیره سازشSteganography  تکنیکی است که اسکریپت‌ها را در تصویرهای PNG پنهان می‌کند(استگانوگرافی هنر و علم قرار دادن پیام‌های مخفی در یک پیام پوششی است، به طریقی که هیچ‌کس جز فرستنده و گیرنده پیام به وجود پیام مخفی شک نکند)، مانند سری سازش Worok که از یک لودر مبتنی بر C++ که به عنوان “CLR Load” شناخته می‌شود، استفاده می‌کند. در حال حاضر، ما نمی‌دانیم از چه برداری در حمله اولیه استفاده شده؛ ولی در برخی از نفوذها، این بدافزار با سوءاستفاده از آسیب‌پذیری ProxyShell  روی Microsoft Exchange Server دسترسی گرفته است.
سپس یک ابزار مخرب سفارشی توسط مهاجمان با استفاده از ابزارهای اکسپلویت عمومی که به صورت رایگان در دسترس بودند، مستقر شد. بنابراین زنجیره سازش نهایی را می‌توان به صورت زیر خلاصه کرد: ابتدا CLRLoader  پیاده‌سازی می‌شود که در آن یک کد ساده برای بارگذاری PNGLoader، که دومین مرحله در فرایند است، اجرا می‌شود. به منظور رمزگشایی کد مخرب موجود در تصویر، PNGLoad در دو نوع مختلف ارائه می‌شود. در حین انجام این کار، آن‌ها پیلودهایی نظیر PowerShell script  و... را راه‌اندازی می‌کنند.

چگونه در امان بمانیم
پیدا کردن اسکریپت برای PowerShell  دشوار بوده و آن‌ها به تازگی بدافزار جدیدی به نام DropboxControl را کشف کرده‌اند که یک جاسوس افزار است که اطلاعات سیستم را به سرقت می‌برد و به مهاجم امکان آپلود، دانلود و اجرای دستورات موجود در فایل‌های خاص را می‌دهد.
بدافزار در فایل‌های  PNGهنگامی که کاربر یک تصویر را برای مشاهده باز می‌کند، به نظر می‌رسد که فایل تصویر عادی است، در حالی که کد استگانوگرافی (مخفی‌نگاری شده)درون آن باز می‌شود.
یک تصویر به گونه‌ای کدگذاری می‌شود که به کد مخرب اجازه می‌دهد با استفاده از تکنیکی به نام رمزگذاری «کمترین بیت مهم» (LSB) در کمترین بیت‌های مهم هر پیکسل در تصویر جاسازی شود.
مهم نیست مرحله سوم چگونه مستقر شده و واضح است که هدف مهاجم، جمع‌آوری اطلاعاتی است. حملات Worok توسط ابزارهایی انجام شده که مورد استفاده کسی نبوده است. بنابراین، این احتمال وجود دارد که این ابزار توسط خود گروه منحصراً برای انجام حملات استفاده شود. 
پس بر همین اساس توصیه می‌شود به هیچ عنوان کاربران در فضای مجازی تصاویری را که از سوی افراد ناشناس و در یک ارتباط‌گیری ساده برای آن‌ها ارسال می‌‌شود، باز نکنند تا درگیر سرقت اطلاعات نشوند.