Контакты
Подписка 2021
МЕНЮ
Контакты
Подписка

Группировка Lazarus использует BMP-изображения для сокрытия вредоноса

20/04/21

korean hackers3-Apr-20-2021-09-47-05-02-AMИсследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.

Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями. Фишинговая кампания началась 13 апреля нынешнего года с рассылки электронных писем, содержащих вредоносный документ.

«Злоумышленники использовали хитрый метод для обхода механизмов безопасности. Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.

Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe. Затем полезная нагрузка переходит к извлечению зашифрованного вредоноса, который декодируется и дешифруется во время выполнения и устанавливает связь с удаленным C&C-сервером для получения дополнительных команд и передачи данных.

Темы:ПреступленияLazarus Groupгосударственные хакерыЮжная Корея

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2021
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...