Группировка Lazarus использует BMP-изображения для сокрытия вредоноса

Группировка Lazarus использует BMP-изображения для сокрытия вредоноса

Преступники распространяют фальшивый документ на корейском языке, замаскированный под форму заявки на участие в ярмарке в одном из южнокорейских городов.

image

Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.

Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями. Фишинговая кампания началась 13 апреля нынешнего года с рассылки электронных писем, содержащих вредоносный документ.

«Злоумышленники использовали хитрый метод для обхода механизмов безопасности. Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.

Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe. Затем полезная нагрузка переходит к извлечению зашифрованного вредоноса, который декодируется и дешифруется во время выполнения и устанавливает связь с удаленным C&C-сервером для получения дополнительных команд и передачи данных.


Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.