da Hardware Upgrade :
Una recente campagna di phishing operata dal noto gruppo hacker Lazarus Group, ha mostrato l’impiego di nuove tecniche di offuscamento che prevede l’abuso di file di immagine per nascondere i payload dannosi che usano per le loro azioni di attacco. La campagna stata analizzata da Malwarebytes e illustrata in un resoconto pubblicato lo scorso 13 aprile.
L’attacco prende il via, come spesso accade con le campagne malware, con un’email di phishing che contiene un documento Microsoft Office compromesso e destinato ad un pubblico coreano. Ai bersagli viene richiesta l’abilitazione delle macro di Office perch sia possibile visualizzare il contenuto del file, operazione che apre la strada all’attivazione di un payload dannoso. Il nome del documento in coreano 참가 신청서 양식 .doc ed un modulo di richiesta di partecipazione a una fiera in una delle citt della Corea del Sud. L’ora di creazione del documento il 31 marzo 2021, il che indica che l’attacco avvenuto pi o meno nello stesso periodo.
La macro infatti innesca la comparsa di un messaggio pop-up che informa di essere una vecchia versione di Office, ma al contempo invoca un file HTA eseguibile compresso come file zlib a sua volta all’interno di un file in formato .PNG. Durante l’operazione di decompressione, il PNG viene convertito in formato BMP e una volta attivato l’HTA rilascia un loader per un Trojan con funzionalit RAT (Remote Access Tool) che viene salvato con il nome AppStore.exe nel sistema bersaglio.
“Si tratta di un metodo intelligente usato dall’atttaccante per aggirare i meccanismi di sicurezza capaci di rilevare oggetti incorporati nelle immagini. Il documento contiente un’immagine PNG che ha un oggetto dannoso zlib compresso e proprio perch compresso non pu essere individuato dai rilevamenti statici. L’attore di minaccia ha usato un meccanismo di conversione per decomprimere il contenuto dannoso” spiegano i ricercatori di Malwarebytes.
Il RAT ha poi la possibilit di comunicare con un server command and control per ricevere comandi ed eseguire azioni. Il canale di comunicazione tra il malware ed il server crittografata tramite un algoritmo che gi precedentemente stato individuato in Bistromath, un altro RAT di Lazarus Group.
Lazarus tra i gruppi di hacker pi attivi, sofisticati e pericolosi attivo almeno dal 2009. Con origine, presumibile, nella Corea del Nord, tende a prendere di mira vittime negli USA, Corea del Sud e Giappone. Il gruppo noto per lo sviluppo di famiglie di malware con caratteristiche personalizzate, nonch per l’impiego di ingegnose tecniche di attacco e offuscamento nelle sue operazioni. Ricordiamo che Lazarus Group stato collegato, secondo le analisi di varie realt operanti nel campo della sicurezza informatica, a WannaCry, uno degli attacchi pi significativi del passato recente.