Come oramai avviene con cadenza sempre più frequente, Lazarus, il noto collettivo hacker nordcoreano – da alcuni esperti ritenuto collegato al governo locale – noto anche con altri appellativi tra i quali Zinc, Unità 121 o Hidden Cobra, resosi autori di scorribande virtuali a danno di Stati Uniti, Giappone e Corea del Sud, è balzato nuovamente alle cronache per un attacco di spear phishing.
Dopo esser stati i responsabili nel 2017 del ransomware WannaCry e, a seguire, di VHD e degli attacchi e-skimming, denominati anche Magecart attack, poi del tentativo di attaccare le compagnie produttrici del vaccino contro il Covid-19 mediante campagne phishing, nonché di aziende e organizzazioni governative del comparto difesa attraverso la backdoor personalizzata Threatneedle, i ricercatori del Threat Intelligence Team di Malwarebytes hanno scoperto una nuova minaccia.
Come documentato nel loro blog, gli analisti questa volta si sono trovati dinnanzi ad un trojan, in grado di rubare informazioni sensibili una volta inoculato nel sistema o dispositivo bersaglio, nascosto all’interno di un “innocuo” file immagine in formato bitmap creato il 31 marzo 2021.
L’immagine era allegata alle email utilizzate nella campagna di phishing come modulo da compilare per partecipare ad una fiera itinerante in Corea del Sud, richiedendo agli utenti-vittime di abilitare le macro alla prima apertura, solo per eseguire in tal modo l’attacco, rilasciando un eseguibile chiamato “AppStore.exe”.
In particolare, i ricercatori della società californiana hanno affermato che gli hacker avevano incorporato il file HTA dannoso come file .zlib compresso all’interno di un file .png che, una volta decompresso, veniva convertito nel formato .bmp.
Il file maligno ha la capacità di ricevere ed eseguire comandi / codice shell, nonché eseguire esfiltrazione e comunicazioni a un server di comando e controllo.
