O grupo Lazarus melhorou suas técnicas de ofuscação de carregador em uma campanha recente de phishing, abusando de arquivos de imagem.

Lazarus, o grupo de ameaças persistentes avançadas patrocinadas pelo estado (APT) da Coreia do Norte está em operação há mais de uma década e acredita-se que seja responsável por ataques mundiais, como o surto de ransomware WannaCry, roubos de bancos e ataques contra trocas de criptomoedas.

As organizações sul-coreanas são alvos consistentes para o Lazarus, embora o APT também tenha sido rastreado até ataques cibernéticos nos Estados Unidos e, mais recentemente, na África do Sul.

Nos siga no Instagram, Telegram ou no Whatsapp e fique atualizado com as últimas notícias de nossas forças armadas e indústria da defesa.

Em uma campanha recente relatada por Malwarebytes em 13 de abril, um documento de phishing atribuído a Lazarus revelou o uso de uma nova técnica projetada para ofuscar cargas em arquivos de imagem.

A cadeia de ataques começa com um documento de phishing do Microsoft Office e uma isca no idioma coreano. As vítimas são solicitadas a habilitar macros para visualizar o conteúdo do arquivo, o que, por sua vez, aciona uma carga maliciosa.

A macro traz uma mensagem pop-up que afirma ser uma versão antiga do Office, mas em vez disso, chama um arquivo HTA executável compactado como um arquivo zlib dentro de um arquivo de imagem PNG geral.

Durante a descompactação, o PNG é convertido para o formato BMP e, uma vez acionado, o HTA descarta um carregador para um cavalo de Troia de acesso remoto (RAT), armazenado como “AppStore.exe” na máquina de destino.

Os pesquisadores afirmaram que é um método brilhante usado pelos invasores para contornar os mecanismos de segurança que podem detectar objetos embutidos nas imagens. O documento contém uma imagem PNG com um objeto malicioso zlib compactado e, como está compactado, não pode ser detectado por detecções estáticas. Em seguida, o invasor precisa apenas usar um mecanismo de conversão simples para descompactar o conteúdo malicioso.

O RAT é capaz de se conectar a um servidor de comando e controle (C2), receber comandos e descartar o shellcode. A comunicação entre o malware e o C2 é codificada em base64 e criptografada usando um algoritmo de criptografia personalizado que foi previamente vinculado ao Lazarus ‘Bistromath RAT.

Créditos de imagem: Cybernews

Fonte: CyberSafe