De acordo com a empresa de segurança cibernética Malwarebytes Labs, o grupo hacker norte-coreano Lazarus usa o Windows Update para injetar código malicioso nos computadores das vítimas. Isso permite que os invasores ignorem os mecanismos básicos de segurança e usem o GitHub como um servidor para distribuir código malicioso.
Fonte da imagem: Shutterstock
Na semana passada, a equipe de inteligência de ameaças da Malwarebytes descobriu um ataque usando dois documentos do Word vinculados a empregos falsos na empresa aeroespacial Lockheed Martin. O objetivo do Lazarus é se infiltrar nas estruturas do governo dos EUA que trabalham nas indústrias de defesa e aeroespacial e roubar o máximo possível de dados confidenciais.
Para ataques, são usados os documentos Salary_Lockheed_Martin_job_opportunities_confidencial.doc e Lockheed_Martin_JobOpportunities. docx. Como seus nomes sugerem, ambos os documentos são projetados para atrair vítimas com a perspectiva de um emprego na Lockheed Martin. Várias macros maliciosas incorporadas em documentos do Word começam a se infiltrar no sistema após a abertura do arquivo, injetando código imediatamente no mecanismo de inicialização do computador para garantir que a reinicialização não interfira nas ações do vírus. Curiosamente, parte do processo de injeção de código malicioso no sistema usa o cliente Windows Update para instalar DLLs maliciosas. Isso é muito inteligente, pois esse método ignora a maioria das medidas de segurança.
Vale ressaltar que no passado, Lazarus já realizou ataques, conhecidos pelo codinome “Dream Job”. Os hackers enganaram os funcionários públicos fazendo-os pensar que estavam sendo contratados por grandes empresas globais enquanto roubavam dados de suas estações de trabalho. Essa campanha foi um grande sucesso e permitiu que invasores se infiltrassem nas redes de dezenas de organizações governamentais em todo o mundo.