WhatsApp pojawi się na Windows 11 i 10 jako aplikacja

Badacze cyberbezpieczeństwa Malwarebytes odkryli, że Lazarus, znana grupa cyberprzestępcza powiązana z rządem Korei Północnej, z powodzeniem wykorzystała klienta Windows Update do dystrybucji złośliwego oprogramowania.

W poście na blogu szczegółowo opisującym swoje odkrycia naukowcy powiedzieli, że badają kampanię phishingową podszywającą się pod Lockheed Martin, amerykańską firmę z branży lotniczej, zbrojeniowej, obronnej, bezpieczeństwa informacji i technologii.

Grupa dystrybuowała dwa pliki: Lockheed_Martin_JobOpportunities.docx i Salary_Lockheed_Martin_job_opportunities_confidential.doc, oczywiście skierowane do osób zainteresowanych pracą w firmie.

złośliwe makra

Same dokumenty zawierały złośliwe makra, które po aktywacji upuszczały plik WindowsUpdateConf.lnk w folderze startowym terminala docelowego oraz plik DLL (wuaueng.dll) w folderze Windows/System32.

Następnie plik .lnk uruchamia klienta Windows Update, który z kolei uruchamia złośliwą bibliotekę DLL.

"Jest to interesująca technika wykorzystywana przez Lazarusa do uruchamiania jego złośliwej biblioteki DLL za pomocą klienta Windows Update" w celu ominięcia rozwiązań antywirusowych i innych mechanizmów bezpieczeństwa.

„Korzystając z tej metody, aktor zagrożenia może wykonać swój złośliwy kod za pośrednictwem klienta Microsoft Windows Update, przekazując następujące argumenty: /UpdateDeploymentProvider, ścieżka do biblioteki złośliwego oprogramowania i argument /RunHandlerComServer po bibliotece dll”.

To nie pierwszy raz, kiedy ktoś wykorzystał klienta Windows Update do uruchomienia złośliwego oprogramowania, ponieważ w październiku 2020 r. luka została wykryta, a nawet wykorzystana przez badacza MDSec, Davida Middlehursta.

Nie widzieliśmy jeszcze, co Microsoft z tym zrobi, ale jak zwykle należy zachować szczególną ostrożność podczas pobierania i uruchamiania dokumentów przychodzących pocztą, zwłaszcza jeśli wymagają one włączenia makr.

Lazarus to jedna z najniebezpieczniejszych grup cyberprzestępczych na świecie, znana z udziału w fiasku WannaCry, a także ataku na Sony po tym, jak firma wypuściła film komediowy, którego akcja rozgrywa się w fikcyjnej Korei Północnej.

Przez: BleepingComputer

Udostępnij to