Группировка Lazarus использует BMP-изображения для сокрытия вредоноса

Материал из Викиновостей, свободного источника новостей

20 апреля 2021 года

Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.

Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями. Фишинговая кампания началась 13 апреля нынешнего года с рассылки электронных писем, содержащих вредоносный документ.

«Злоумышленники использовали хитрый метод для обхода механизмов безопасности. Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.

Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe. Затем полезная нагрузка переходит к извлечению зашифрованного вредоноса, который декодируется и дешифруется во время выполнения и устанавливает связь с удаленным C&C-сервером для получения дополнительных команд и передачи данных.

Источники[править]

Эта статья загружена автоматически ботом NewsBots и ещё не проверялась редакторами Викиновостей.
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.

Комментарии[править]

Викиновости и Wikimedia Foundation не несут ответственности за любые материалы и точки зрения, находящиеся на странице и в разделе комментариев.