Lazarus Group utiliza una nueva táctica para evadir la detección



Los atacantes ocultan código malicioso dentro de un archivo BMP para pasar por alto las herramientas de seguridad diseñadas para detectar objetos incrustados dentro de las imágenes.

Los investigadores de seguridad de Malwarebytes han observado que el actor de amenazas persistentes avanzadas Lazarus Group, afiliado a Corea del Norte, emplea una nueva técnica para distribuir malware y evadir las herramientas de seguridad.

Lazarus Team, un grupo activo y sofisticado conocido por atacar objetivos en todo el mundo, recientemente expandió su misión principal más allá del robo monetario para incluir el robo de secretos de defensa. El grupo es conocido por desarrollar familias de malware personalizadas y utilizar tácticas novedosas.

Uno de sus métodos más nuevos consiste en incrustar un archivo de aplicación HTML maliciosa (HTA) dentro de un archivo zlib comprimido, dentro de un archivo PNG. Durante el tiempo de ejecución, el archivo PNG se convierte en un formato de archivo BMP. Debido a que el archivo BMP no está comprimido, la conversión de PNG a BMP descomprime automáticamente el objeto zlib malicioso. Los investigadores llaman a esto una forma inteligente de evadir la detección. Debido a que el objeto malicioso está comprimido dentro de la imagen PNG, pasa por alto la detección estática.

Este ataque probablemente comenzó con una campaña de phishing en la que llegan correos electrónicos con un archivo malicioso adjunto. Cuando se abre, el archivo solicita a su visor que habilite las macros. Hacer esto conducirá a un cuadro de mensaje al hacer clic aquí, se cargará el señuelo de phishing closing: un formulario de participación para una feria en una ciudad de Corea del Sur. El documento está armado con una macro que se ejecuta cuando se abre.

Si bien la atribución es un desafío constante en los ciberataques, el equipo encontró varios signos que conectan esta actividad con Lazarus Group, como se explain en una publicación de web site sobre sus hallazgos.

«Hay varias similitudes entre este ataque y las operaciones anteriores de Lazarus y creemos que estos son indicadores sólidos para atribuir este ataque al actor de amenazas de Lazarus», escribe Hossein Jazi, analista senior de inteligencia de amenazas.

Leer el publicación de web site completa para más información.

Fast Hits de Dark Examining ofrece una breve sinopsis y un resumen de la importancia de las noticias de última hora. Para obtener más información de la fuente initial de la noticia, siga el enlace proporcionado en este artículo. Ver biografía completa

Más información





Enlace a la noticia primary