Los piratas informáticos de Lazarus APT ahora están usando imágenes BMP para ocultar el malware RAT

Noticias 9 de febrero de 2022

Se descubrió que un ataque de phishing dirigido por un actor de amenazas de Corea del Norte dirigido a su contraparte del sur oculta su código malicioso dentro de un archivo de imagen de mapa de bits (.BMP) para colocar un troyano de acceso remoto (RAT) capaz de robar información confidencial.

Al atribuir el ataque al Grupo Lazarus basándose en similitudes con tácticas anteriores adoptadas por el adversario, los investigadores de Malwarebytes dijeron que la campaña de phishing comenzó distribuyendo correos electrónicos con un documento malicioso que identificó el 13 de abril.

«El actor utilizó un método inteligente para eludir los mecanismos de seguridad en el que incrustó su archivo HTA malicioso como un archivo zlib comprimido dentro de un archivo PNG que luego se descomprimió durante el tiempo de ejecución al convertirse al formato BMP», dijeron los investigadores de Malwarebytes. .

«La carga útil lanzada fue un cargador que decodificó y descifró la carga útil de la segunda etapa en la memoria. La carga útil de la segunda etapa tiene la capacidad de recibir y ejecutar comandos/código shell, así como realizar exfiltración y comunicaciones a un servidor de comando y control».

Creado el 31 de marzo de 2021, el documento señuelo (en coreano) pretende ser un formulario de solicitud de participación para una feria en una de las ciudades de Corea del Sur y pide a los usuarios que habiliten macros al abrirlo por primera vez, solo para ejecutar el ataque. código que desencadena la cadena de infección y, en última instancia, deja caer un ejecutable llamado «AppStore.exe».

Luego, la carga útil procede a extraer una carga útil cifrada de segunda etapa adjunta a sí misma que se descodifica y descifra en tiempo de ejecución, y luego establece comunicaciones con un servidor remoto para recibir comandos adicionales y transmitir los resultados de esos comandos al servidor.

«El actor de amenazas Lazarus es uno de los actores de amenazas norcoreanos más activos y sofisticados que se ha dirigido a varios países, incluidos Corea del Sur, Estados Unidos y Japón en los últimos años», dijeron los investigadores. «Se sabe que Lazarus emplea nuevas técnicas y conjuntos de herramientas personalizados en sus operaciones para aumentar la efectividad de sus ataques».

Continua leyendo

La policía investiga un ‘incidente cibernético’ en el grupo médico de Guernsey

El ransomware GandCrab y el virus Ursnif se propagan a través de macros de MS Word

Investigadores lanzan herramienta que encuentra robots vulnerables en Internet

Nuevo exploit amenaza a más de 9000 enrutadores Cisco RV320 / RV325 hackeables en todo el mundo

El nuevo error de FaceTime permite que las personas que llaman lo escuchen y lo vean sin que usted responda

La policía cerró xDedic: un mercado en línea para los ciberdelincuentes

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática

Thanks, I’m not interested