Si è scoperto che un hacker cinese stava sfruttando una falla in un noto programma antivirus per fornire malware a obiettivi di alto profilo in Giappone.
I ricercatori di sicurezza informatica di Kaspersky hanno recentemente scoperto che Cicada, noto anche come APT10, ha indotto con l'inganno i dipendenti di varie organizzazioni in Giappone, dalle società di media alle agenzie governative, a scaricare una versione compromessa della suite K7Security dell'azienda.
Coloro che cadono nella trappola finiscono per ricevere LODEINFO, un malware vecchio di tre anni in grado di eseguire file PE e shellcode, scaricare file, uccidere processi e inviare elenchi di file, tra le altre cose.
Caricamento locale di file DLL
Il malware viene distribuito attraverso una pratica nota come DLL sideloading. Innanzitutto, la vittima dovrebbe essere indirizzata a una falsa pagina di download di K7Security Suite, dove scaricherà il software. Il programma di installazione stesso non sarebbe dannoso, sarebbe la vera soluzione antivirus. Tuttavia, la stessa cartella conterrebbe anche una DLL dannosa denominata K7SysMn1.dll.
Durante una normale installazione, l'eseguibile cercherà un file chiamato K7SysMn1.dll, che normalmente non è dannoso. Se lo trova nella stessa cartella in cui ti trovi, non cercherà oltre e eseguirà invece quel file.
Gli attori delle minacce creerebbero quindi un file dannoso, contenente il malware LODEINFO, e gli darebbero il nome file K7SysMn1.dll. In altre parole, è il programma antivirus - si apre in una nuova scheda - che finisce per caricare il malware sul dispositivo bersaglio. E poiché un'applicazione di sicurezza legittima lo sta caricando, potrebbe non essere rilevato come dannoso da altri software di sicurezza.
Gli investigatori non sono stati in grado di determinare quante organizzazioni siano state vittime di questo attacco o quale sia l'obiettivo finale della campagna. Tuttavia, dato chi sono gli obiettivi, lo spionaggio informatico è la risposta più ovvia.
Il trasferimento locale di file .DLL non è un nuovo approccio. Nell'agosto 2022, è stato riferito che Windows Defender è stato abusato per scaricare LockBit 3.0, una famigerata variante del ransomware.
Via: BleepingComputer (si apre in una nuova scheda)