Semplici file immagine nascondono un trojan di accesso remoto in grado di rubare informazioni riservate. Si tratta dell’ultima tecnica utilizzata dal gruppo APT Lazarus per nascondere il codice malevolo all’interno di un’immagine BMP. La finalità: lo spionaggio.
Questo attacco probabilmente è iniziato con la distribuzione di e-mail di phishing armate con un documento dannoso.
L’apparente innocua immagine PNG viene distribuita attraverso una campagna di phishing e contiene incorporato un file HTA dannoso come file zlib compresso, che viene decompresso durante la fase di esecuzione convertendosi in formato BMP.
Viene attivato così un trojan di accesso remoto (RAT) che esfiltra informazioni sensibili a server remoti di comando e controllo. Il payload della seconda fase ha la capacità di ricevere ed eseguire comandi / codice shell, nonché eseguire esfiltrazione e comunicazioni a un server di comando e controllo.
Secondo gli esperti di Malwarebytes, il documento esca (in coreano) è stato creato il 31 marzo 2021 formulato come modulo per la domanda di partecipazione per una fiera in una città sudcoreana in cui si chiedeva espressamente ai destinatari di abilitare le macro all’apertura.
Una volta che gli utenti cadevano in inganno, veniva attivato un eseguibile chiamato “AppStore.exe”, che estraeva il payload del secondo stadio. Decodificato in fase di esecuzione, attivava le comunicazioni con un server remoto ed esfiltrava i dati.
Questa nuova campagna di spionaggio sarebbe al momento indirizzata verso la Corea del Sud. I ricercatori di Malwarebytes hanno tracciato il collegamento con il Gruppo Lazarus sulla base di somiglianze con le tattiche precedentemente adottate.
“Il 13 aprile abbiamo identificato un documento utilizzato da questo attore per prendere di mira la Corea del Sud. In questa campagna, Lazarus ha fatto ricorso a un’interessante tecnica di file BMP incorporati con oggetti HTA dannosi per rilasciare il suo Loader”, si legge nella comunicazione di Malwarebytes.
https://www.securityopenlab.it/news/1271/apt-lazarus-usa-le-immagini-per-nascondere-i-malware.html