L’ultimo inganno di Lazarus
Nel corso delle consuete attività di monitoraggio, Avast ha scoperto una sofisticata procedura di attacco che si spacciava per un aggiornamento ufficiale NVIDIA. Quella che, a prima vista, sembrava una semplice valutazione per una posizione lavorativa si è rivelata essere, in realtà, una trappola digitale estremamente sofisticata. L’attacco, infatti, era mascherato dietro un’offerta di lavoro decisamente credibile, usando le aspettative e la buona fede della vittima per far scattare un ingegnoso meccanismo di intrusione.
L’attacco iniziava con un finto modulo per un colloquio. Dopo averlo compilato, gli utenti venivano reindirizzati a una pagina che richiedeva di configurare la videocamera. Questa pagina, con un messaggio che indicava falsamente problemi con la webcam e il microfono, aggiungendo un senso di urgenza, innescava un pop-up che invitava a sua volta a “Richiedere l’accesso alla videocamera”. Il pop-up, in realtà, attivava un comando di aggiornamento apparentemente legittimo, usando un dominio NVIDIA, per “risolvere” i problemi dell’utente. Una volta copiato negli appunti, il comando si trasformava in un payload.
L’esecuzione del comando avviava un attacco a più fasi con delle modalità e una metodologia dell’attacco già conosciuta attribuita al gruppo Lazarus APT. Lo script Python scaricato si mascherava da legittimo aggiornamento di un driver, mostrando un output dettagliato per ingannare ulteriormente la vittima, ma dopo la decrittazione eseguiva un WebBrowserPassView per rubare le credenziali dai browser. Successivamente scaricava ed eseguiva MailPassView per raccogliere credenziali email e installava silenziosamente MeshAgent, garantendo agli aggressori un controllo remoto persistente sul sistema infetto.
Infine con l’ eseguibile PyInstaller veniva abilitata l’estrazione di file e dati sensibili tramite FTP. Infine, le estensioni del browser e le cartelle locali relative alle criptovalute venivano raccolte e inviate al server di comando e controllo (C2).
Lazarus
Lazarus è il nome comunemente usato per riferirsi a un gruppo di hacker molto noto, spesso associato alla Corea del Nord. Questo gruppo è famoso per aver condotto operazioni di cyber-spionaggio e attacchi informatici su larga scala in tutto il mondo.
Le loro attività includono spionaggio, furto di fondi (a banche e istituzioni finanziarie, per finanziare le operazioni del loro regime) e attacchi di altro profilo come l’attacco a Sony Pictures Entertainment nel 2014, che ha compromesso i dati dell’azienda e ha distrutto i suoi sistemi
Usano tecniche sofisticate e in continua evoluzione, e sono noti per la loro persistenza e per la capacità di rimanere nascosti all’interno delle reti per lunghi periodi.
Questa campagna riflette le tattiche in evoluzione del gruppo sotto l’ombrello di “DeceptiveDevelopment“, che combina manipolazione psicologica e sofisticazione tecnica per aggirare le difese e sfruttare la fiducia in un contesto professionale o di sviluppo, rendendo l’attacco difficile da riconoscere. In questo modo, il gruppo Lazarus inganna le vittime e le porta a eseguire il malware per loro conto.