APT Lazarus usa le immagini per nascondere i malware

Innocui file immagine nascondono un trojan di accesso remoto che esfiltra informazioni sensibili a server remoti di comando e controllo.

Business Vulnerabilità
Nascondere il codice malevolo all'interno di un'immagine BMP. È l'ultima tecnica messa in atto dal gruppo APT Lazarus con finalità di spionaggio. L'immagine PNG, apparentemente innocua, viene distribuita mediante una campagna di spear-phishing. Al suo interno è celato un file HTA dannoso come file zlib compresso, che vene decompresso durante la fase di esecuzione convertendosi in formato BMP.

Si attiva così un trojan di accesso remoto (RAT) in grado di rubare informazioni riservate. Lazarus è un gruppo sponsorizzato dalla Corea del Nord, e a quanto si apprendere questa nuova campagna di spionaggio sarebbe al momento indirizzata verso la Corea del Sud. Lazarus è stato molto attivo negli ultimi anni anche contro Stati Uniti e Giappone. I ricercatori di Malwarebytes hanno tracciato il collegamento con il Gruppo Lazarus sulla base di somiglianze con le tattiche precedentemente adottate. La campagna di phishing è iniziata il 13 aprile.

Vale la pena ricordare che l'idea non è originale, perché in passato altri gruppi hanno usato file di immagine per bypassare i meccanismi di sicurezza. Un esempio è quello del ransomware ProLock, il cui payload viene estratto da un file BMP o JPG denominato WinMgr e caricato in memoria.
lazarusIl meccanismo a questo giro è lo stesso: il payload individuato era un loader che a sua volta decodificava in memoria il payload del secondo stadio. Questo secondo payload ha la capacità di ricevere ed eseguire comandi/shellcode, nonché di esfiltrare dati e inviarli a un server di comando e controllo.

Secondo la ricostruzione degli esperti di Malwarebytes il documento esca, in coreano, è stato creato il 31 marzo 2021. Era formulato come modulo per la domanda di partecipazione per una fiera in una città sudcoreana. Chiedeva espressamente ai destinatari di abilitare le macro all'apertura: è un tipico modus operandi che rivela l'inizio di una catena di infezione.

Chi cadeva in inganno attivava un eseguibile chiamato "AppStore.exe", che estraeva il payload del secondo stadio. Decodificato in fase di esecuzione, attivava le comunicazioni con un server remoto ed esfiltrava i dati.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori