Grupo de hackers norte-coreano está usando o Windows Update Client para infectar PCs em novo ataque de phishing
O relatório revela ainda que o grupo tinha como alvo usuários que se candidataram a empregos na empresa. O Lazarus distribuiu dois arquivos – Lockheed_Martin_JobOpportunities.docx e Salary_Lockheed_Martin_job_opportunities_confidencial.doc. Ambos os arquivos carregavam macros maliciosas que soltam arquivos na pasta de inicialização do endpoint e na pasta Windows/System32 quando ativados.
O arquivo .Ink na subpasta do Windows inicia o Windows Update Client que aciona a DLL maliciosa (Dynamic Link Library). Vale a pena notar que essas DLLs maliciosas também podem ignorar antivírus e outras medidas de segurança. Esta não é a primeira vez que alguém usa o Windows Update Client para espalhar malware. Falha semelhante foi descoberta pelo pesquisador do MDSec David Middlehurst em outubro de 2020. Desta vez, o risco parece ser enorme, pois o Lazarus está envolvido.
O que é Lázaro
Para quem não sabe, Lazarus é um infame grupo de crimes cibernéticos que tem ligações com o governo norte-coreano. O grupo também estava envolvido no ataque de ransomware WannaCry. O notório grupo também atacou a Sony quando a empresa lançou um filme de comédia baseado na fictícia Coreia do Norte.
A partir de agora, Microsoft ainda não divulgou nenhuma declaração oficial sobre o incidente. Para se manter seguro contra esses tipos de malware, você também deve ter muito cuidado ao baixar ou abrir um arquivo anexado no e-mail.
o FacebookTwitterLinkedin
Source link