Lazarus, un conocido grupo de amenazas persistentes avanzadas (APT), que se cree que opera en nombre del gobierno de Corea del Norte, está utilizando un nuevo ataque a la cadena de suministro que involucra software de seguridad legítimo de Corea del Sur y certificados digitales robados de dos compañías diferentes, segun informa ESET.
El ataque estaba dirigido a los visitantes de sitios web operados por el gobierno de Corea del Sur y las empresas financieras, con el objetivo de entregar un malware dropper que infecta las computadoras de las víctimas con un troyano de acceso remoto. El actor de la amenaza utilizó certificados digitales robados de dos empresas de seguridad, que les permiten corromper un complemento del navegador diseñado para proteger a los usuarios de ser comprometidos.
ESET dice que los piratas informáticos aprovecharon el software de seguridad creado por Wizver. El software en cuestión es WIZVERA VeraPort, un programa de instalación de integración utilizado por los sitios web del gobierno de Corea del Sur. La herramienta ayuda a administrar software de seguridad adicional, que a menudo se solicita a los usuarios de Corea del Sur que instalen cuando visitan sitios web gubernamentales o de banca por Internet.
“Con WIZVERA VeraPort instalado en sus dispositivos, los usuarios reciben e instalan todo el software necesario requerido por un sitio web específico con VeraPort (por ejemplo, complementos del navegador, software de seguridad, software de verificación de identidad, etc.). Se requiere una interacción mínima del usuario para iniciar dicha instalación de software desde un sitio web que admita WIZVERA VeraPort. Por lo general, este software es utilizado por sitios web gubernamentales y bancarios en Corea del Sur. Para algunos de estos sitios web, es obligatorio tener WIZVERA VeraPort instalado para que los usuarios puedan acceder a los servicios de los sitios ”, explica ESET.
WIZVERA VeraPort se utiliza para firmar y verificar digitalmente las descargas, sin embargo, la aplicación solo verifica que la firma digital sea válida, sin verificar a quién pertenece. “Por lo tanto, para abusar de WIZVERA VeraPort, los atacantes deben tener un certificado de firma de código válido para impulsar su carga útil a través de este método o tener suerte y encontrar una configuración de VeraPort que no requiera verificación de firma de código”, señala el informe.
Los investigadores descubrieron dos muestras de malware que se firmaron con certificados de firma de código obtenidos ilegalmente. El malware se disfrazó de software legítimo.
“Estas muestras tienen nombres de archivo, íconos y recursos VERSIONINFO similares a los del software legítimo de Corea del Sur que a menudo se entrega a través de WIZVERA VeraPort. Los binarios que se descargan y ejecutan a través del mecanismo WIZVERA VeraPort se almacenan en% Temp% \ [12_RANDOM_DIGITS] \. Cabe señalar que la configuración de WIZVERA VeraPort tiene una opción no solo para verificar firmas digitales, sino también para verificar el hash de los binarios descargados. Si esta opción está habilitada, dicho ataque no se puede realizar tan fácilmente, incluso si el sitio web con WIZVERA VeraPort está comprometido ”, según ESET.
En cuanto a la carga útil final de RAT, los investigadores dicen que viene con un conjunto de características típicas utilizadas por el grupo Lazarus. Los comandos incluyen operaciones en el sistema de archivos de la víctima y la descarga y ejecución de herramientas adicionales del arsenal del grupo.
“Los atacantes intentan constantemente encontrar nuevas formas de enviar malware a los equipos de destino. Los atacantes están particularmente interesados en los ataques a la cadena de suministro, ya que les permiten implementar de forma encubierta malware en muchas computadoras al mismo tiempo […] Podemos predecir con seguridad que el número de ataques a la cadena de suministro aumentará en el futuro, especialmente contra empresas cuyas los servicios son populares en regiones específicas o en sectores verticales específicos ”, advierte el informe.
