20/04/21
Исследователи безопасности из компании Malwarebytes сообщили о вредоносной кампании северокорейских хакеров, в рамках которой преступники осуществляют целенаправленные фишинговые атаки на пользователей в Южной Корее. Вредоносный код находится внутри растровых (.BMP) файлов изображений и позволяет злоумышленникам загружать на компьютер жертвы троян для удаленного доступа, способный похищать конфиденциальную информацию.
Специалисты связывают атаки с киберпреступной группировкой Lazarus Group, основываясь на сходстве с предыдущими операциями. Фишинговая кампания началась 13 апреля нынешнего года с рассылки электронных писем, содержащих вредоносный документ.
«Злоумышленники использовали хитрый метод для обхода механизмов безопасности. Хакеры встроили вредоносный файл HTA, сжатый в виде zlib, в PNG-изображение, которое затем было преобразовано в формат BMP», — пояснили специалисты.
Фальшивый документ, написанный на корейском языке, представляет собой форму заявки на участие в ярмарке в одном из южнокорейских городов и предлагает пользователям включить макросы при первом открытии. После запуска макросов на систему жертвы загружается исполняемый файл AppStore.exe. Затем полезная нагрузка переходит к извлечению зашифрованного вредоноса, который декодируется и дешифруется во время выполнения и устанавливает связь с удаленным C&C-сервером для получения дополнительных команд и передачи данных.
