Investigadores detectan un ataque de spear-phishing dirigido por Corea del Norte hacia su vecino del sur, en el cual estos logran ocultar código malicioso dentro de una imagen de mapa de bits .(BMP), con el objetivo de soltar un troyano de acceso remoto, capaz de robar información confidencial.
Atribuyendo el ataque al Grupo Lázaro basado en similitudes con tácticas anteriores adoptadas por el adversario, investigadores de Malwarebytes dijeron que la campaña de phishing comenzó distribuyendo correos electrónicos cargados con un documento malicioso que identificó el 13 de abril.
"El actor ha utilizado un método inteligente para eludir los mecanismos de seguridad en los que ha incrustado su archivo HTA malicioso como un archivo zlib comprimido dentro de un archivo PNG que luego ha sido descomprimido durante el tiempo de ejecución al convertirse al formato BMP", dijeronlos investigadores de Malwarebytes.
"La carga útil descargada era un cargador que decodificaba y descifraba la carga útil de la segunda etapa en la memoria. La carga útil de la segunda etapa tiene la capacidad de recibir y ejecutar comandos/shellcode, así como realizar exfiltración y comunicaciones a un servidor de comando y control."
Creado el 31 de marzo de 2021, el documento de señuelo (en coreano) pretende ser un formulario de solicitud de participación para una feria en una de las ciudades surcoreanas y pide a los usuarios que permitan macros al abrirlo por primera vez, sólo para ejecutar el código de ataque que desencadena la cadena de infección, dejando caer en última instancia un ejecutable llamado "AppStore.exe".
A continuación, la carga útil procede a extraer una carga de segunda etapa cifrada anexa a sí misma que está descodificada y descifrada en tiempo de ejecución, seguida de establecer comunicaciones con un servidor remoto para recibir comandos adicionales y transmitir los resultados de esos comandos al servidor.
"El actor de amenazas de Lázaro es uno de los actores de amenazas norcoreanos más activos y sofisticados que ha atacado varios países, incluyendo Corea del Sur, Estados Unidos y Japón en los últimos dos años", dijeron los investigadores. "Se sabe que Lázaro emplea nuevas técnicas y conjuntos de herramientas personalizados en sus operaciones para aumentar la eficacia de sus ataques."
IMAGENES: Malwarebytes
