Home Ciberguerra Lazarus, ahora utiliza imágenes BMP para ocultar malware RAT

Lazarus, ahora utiliza imágenes BMP para ocultar malware RAT

Se ha descubierto que un ataque de spear-phishing operado por un actor de amenazas norcoreano dirigido a su homólogo del sur oculta su código malicioso dentro de un archivo de imagen de mapa de bits (.BMP) para dejar caer un troyano de acceso remoto (RAT) capaz de robar información sensible.

Atribuyendo el ataque al Grupo Lazarus en base a las similitudes con tácticas anteriores adoptadas por el adversario, los investigadores de Malwarebytes dijeron que la campaña de phishing comenzó distribuyendo correos electrónicos con un documento malicioso que identificó el 13 de abril.

“El actor ha utilizado un método inteligente para eludir los mecanismos de seguridad en el que ha incrustado su archivo malicioso HTA como un archivo zlib comprimido dentro de un archivo PNG que luego ha sido descomprimido durante el tiempo de ejecución convirtiéndose al formato BMP”, dijeron los investigadores de Malwarebytes.

“El payload caído era un cargador que descodificaba y descifraba el payload de la segunda etapa en la memoria. La carga útil de la segunda etapa tiene la capacidad de recibir y ejecutar comandos/código shell, así como realizar la exfiltración y las comunicaciones a un servidor de comando y control.”

Creado el 31 de marzo de 2021, el documento de señuelo (en coreano) pretende ser un formulario de solicitud de participación para una feria en una de las ciudades de Corea del Sur y pide a los usuarios que habiliten las macros al abrirlo por primera vez, para luego ejecutar el código de ataque que desencadena la cadena de infección, dejando caer finalmente un ejecutable llamado “AppStore.exe”.

A continuación, la carga útil procede a extraer una carga útil cifrada de segunda etapa anexa a sí misma que se descifra y desencripta en tiempo de ejecución, seguida de establecer comunicaciones con un servidor remoto para recibir comandos adicionales y transmitir los resultados de esos comandos de vuelta al servidor.

“El actor de la amenaza Lazarus es uno de los actores de la amenaza norcoreana más activos y sofisticados que ha atacado a varios países, entre ellos Corea del Sur, Estados Unidos y Japón, en los últimos dos años”, dijeron los investigadores. “Lazarus es conocido por emplear nuevas técnicas y conjuntos de herramientas personalizadas en sus operaciones para aumentar la eficacia de sus ataques”.