Hackers ligados à Coreia do Norte implantaram um novo meio de extrair malware, escondendo-o dentro de um comando de aparência legítima para converter uma imagem PNG em uma imagem BMP, de acordo com um novo relatório da empresa de segurança Malwarebytes.
O grupo de hackers é chamado de Lazarus, vinculado à Coreia do Norte, supostamente usou arquivos de imagem PNG compactados contendo malware para conduzir golpes de phishing.
Lazarus é um grupo de Ameaças Persistentes Avançadas (APT) da Coreia do Norte patrocinado pelo estado. Conhecido como um dos APTs mais prolíficos e sofisticados, o Lazarus está em operação há mais de uma década e é considerado responsável por ataques em todo o mundo, incluindo o surto de ransomware WannaCry, roubos de banco e ataques contra trocas de criptomoedas.
As organizações sul-coreanas são alvos consistentes para o Lazarus, embora o APT também tenha sido rastreado até ataques cibernéticos nos Estados Unidos e, mais recentemente, na África do Sul.
Em uma campanha documentada por Malwarebytes, em 13 de abril, um documento de phishing atribuído a Lazarus revelou o uso de uma técnica interessante projetada para ofuscar cargas em arquivos de imagem.
A cadeia de ataques começa com um Documento de Phishing do Microsoft Office (참가 신청서 양식 .doc) e uma “isca” no idioma coreano. As vítimas pretendidas são solicitadas a habilitar macros para visualizar o conteúdo do arquivo, o que, por sua vez, aciona uma carga maliciosa.
A macro traz uma mensagem pop-up que afirma ser uma versão antiga do Office, mas em vez disso, chama um arquivo HTA executável compactado como um arquivo zlib dentro de um arquivo de imagem PNG geral.
Durante a descompactação, o PNG é convertido para o formato BMP e, uma vez acionado, o HTA descarta um carregador para um cavalo de Troia de Acesso Remoto (RAT), armazenado como “AppStore.exe” na máquina de destino.
“Este é um método inteligente usado pelo ator para contornar os mecanismos de segurança que podem detectar objetos embutidos nas imagens”, dizem os pesquisadores.
“A razão é porque o documento contém uma imagem PNG com um objeto malicioso zlib compactado e, como está compactado, não pode ser detectado por detecções estáticas. Então, o agente da ameaça apenas usou um mecanismo de conversão simples para descompactar o conteúdo malicioso.”
O Cavalo de Tróia é capaz de se conectar a um servidor de comando e controle (C2), receber comandos e descartar o shellcode. A comunicação entre o malware e o C2 é codificada em base64 e criptografada usando um algoritmo de criptografia personalizado que foi previamente vinculado ao Lazarus ‘Bistromath RAT.
Em notícias relacionadas, o Threat Analysis Group (TAG) do Google alertou no início deste mês que os agentes de ameaças norte-coreanos estão visando pesquisadores de segurança nas redes sociais.
Identificado pela primeira vez em janeiro, o esquema agora inclui uma rede de perfis falsos, explorações de navegador e uma falsa empresa de segurança ofensiva.
ZDnet, NK News, via Redação Área Militar
 para se esquivar de programas de segurança&body=https://areamilitarof.com/hackers-norte-coreanos-usam-novo-metodo-png-para-se-esquivar-de-programas-de-seguranca/){kind=link}
