Gli esperti di Microsoft hanno scoperto un attacco “supply chain” effettuato dal gruppo Lazarus (Diamond Sleet o ZINC) contro CyberLink. I cybercriminali nordcoreani hanno compromesso l’infrastruttura della software house taiwanese e caricato sui server versioni infette di un installer. Gli utenti devono verificare il certificato (revocato) prima di eseguire il file.
Attenzione agli installer di CyberLink
A partire dal 20 ottobre, Microsoft ha rilevato un installer infetto di CyberLink su oltre 100 dispositivi in vari paesi, tra cui Stati Uniti, Canada, Giappone e Taiwan. L’installer è stato scaricato dal sito della software house, quindi i cybercriminali hanno compromesso l’infrastruttura di update.
L’eseguibile è stato firmato con un certificato legittimo emesso da CyberLink. Microsoft ha aggiunto il certificato all’elenco di quelli revocati (distribuiti tramite Windows Update). Gli utenti devono quindi verificare la sua validità nelle proprietà del file.
Quando l’ignara vittima esegue l’installer, sul computer viene copiato LambLoad, un downloader e loader che scarica un payload nascosto all’interno di un file mascherato come immagine PNG, successivamente caricato in memoria. Microsoft non ha ancora individuato le attività eseguite dopo l’infezione iniziale, ma solitamente gli attacchi del gruppo Lazarus sono effettuati a scopo di spionaggio.
Gli utenti Windows sono protetti da Defender Antivirus, se è attivata la protezione in tempo reale e quella fornita dal cloud. Secondo VirusTotal, al momento solo 6 antivirus rilevano l’installer infetto, quindi è necessario prestare molta attenzione prima dell’esecuzione del file. CyberLink è stata informata, ma non è noto se ha rimosso l’installer dal sito e risolto il problema di sicurezza.