O grupo hacker Lazarus utiliza imagem BMP para ocultar malware

blank

O grupo Lazarus melhorou suas técnicas de ofuscação de carregador em uma campanha recente de phishing, abusando de arquivos de imagem.

Lazarus, o grupo de ameaças persistentes avançadas patrocinadas pelo estado (APT) da Coreia do Norte está em operação há mais de uma década e acredita-se que seja responsável por ataques mundiais, como o surto de ransomware WannaCry, roubos de bancos e ataques contra trocas de criptomoedas.

As organizações sul-coreanas são alvos consistentes para o Lazarus, embora o APT também tenha sido rastreado até ataques cibernéticos nos Estados Unidos e, mais recentemente, na África do Sul.

Em uma campanha recente relatada por Malwarebytes em 13 de abril, um documento de phishing atribuído a Lazarus revelou o uso de uma nova técnica projetada para ofuscar cargas em arquivos de imagem.

A cadeia de ataques começa com um documento de phishing do Microsoft Office e uma isca no idioma coreano. As vítimas são solicitadas a habilitar macros para visualizar o conteúdo do arquivo, o que, por sua vez, aciona uma carga maliciosa.

A macro traz uma mensagem pop-up que afirma ser uma versão antiga do Office, mas em vez disso, chama um arquivo HTA executável compactado como um arquivo zlib dentro de um arquivo de imagem PNG geral.

Durante a descompactação, o PNG é convertido para o formato BMP e, uma vez acionado, o HTA descarta um carregador para um cavalo de Troia de acesso remoto (RAT), armazenado como “AppStore.exe” na máquina de destino.

Os pesquisadores afirmaram que é um método brilhante usado pelos invasores para contornar os mecanismos de segurança que podem detectar objetos embutidos nas imagens. O documento contém uma imagem PNG com um objeto malicioso zlib compactado e, como está compactado, não pode ser detectado por detecções estáticas. Em seguida, o invasor precisa apenas usar um mecanismo de conversão simples para descompactar o conteúdo malicioso.

O RAT é capaz de se conectar a um servidor de comando e controle (C2), receber comandos e descartar o shellcode. A comunicação entre o malware e o C2 é codificada em base64 e criptografada usando um algoritmo de criptografia personalizado que foi previamente vinculado ao Lazarus ‘Bistromath RAT.

Créditos de imagem: Cybernews

Fonte: CyberSafe

Assine nossa Newsletter


Receba todo final de tarde as últimas notícias do Defesa em Foco em seu e-mail, é de graça!

Receba nossas notícias em tempo real através dos aplicativos de mensagem abaixo:

blank
WHATSAPP: As regras de privacidade dos grupos são definidas pelo WhatsApp. Ao entrar, seu número pode ser visto por outros integrantes do grupo.

DEIXE UMA RESPOSTA

Por favor insira seu comentário!
Digite seu nome aqui