Gli esperti dei Malwarebytes Labs hanno scoperto diversi attacchi di spear phishing effettuati mediante due documenti Word che sembravano provenire da Lockheed Martin. La macro inclusa nei file .doc/docx nasconde il malware che sfruttava GitHub come server C2 (command and control) e utilizzava Windows Update per non essere rilevato. Gli attacchi sono stati attributi a Lazarus, noto gruppo di cybercriminali della Corea del Nord.
Windows Update per eseguire il malware
L’attacco inizia quando l’ignara vittima apre il documento Word ricevuto via email, pensando che si tratti di un’offerta di lavoro. L’esecuzione della macro causa il caricamento del file drops_lnk.dll
nel processo explorer.exe
. Questa DLL copia il file WindowsUpdateConf.lnk
nella directory di esecuzione automatica e il file wuaueng.dll
nella directory C:\Wíndows\system32\
.
Successivamente il file .lnk avvia l’esecuzione del file wuauclt.exe
, ovvero il client di Windows Update con un comando che carica in memoria il malware nascosto nel file wuaueng.dll
. Si tratta una tecnica piuttosto ingegnosa perché l’esecuzione del client di Windows Update consente di aggirare i controlli di sicurezza.
Dopo aver analizzato il codice, gli esperti dei Malwarebytes Labs hanno trovato diversi indizi che permettono di attribuire l’attacco al gruppo Lazarus, come l’uso dell’offerta di lavoro fasulla e alcuni metadati già rilevati in altri attacchi.
I cybercriminali nordcoreani sono noti soprattutto per l’attacco WannaCry del 2017. Il ransomware, che sfruttava l’exploit EternalBlue sviluppato dalla NSA (National Security Agency), ha colpito oltre 200.000 computer nel mondo, inclusi quelli dell’Università degli Studi di Milano-Bicocca.