Группировка Lazarus использует BMP-изображения для сокрытия вредоноса

Вт 20 Апрель 2021 09:17

Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.

Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями. Фишинговая кампания началась 13 апреля нынешнего года с рассылки электронных писем, содержащих вредоносный документ.

«Злоумышленники использовали хитрый метод для обхода механизмов безопасности. Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.

Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe. Затем полезная нагрузка переходит к извлечению зашифрованного вредоноса, который декодируется и дешифруется во время выполнения и устанавливает связь с удаленным C&C-сервером для получения дополнительных команд и передачи данных.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 135 дней 17 часов 35 минут
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.