Se descubrió que un conocido actor de amenazas chino abusaba de una falla en un conocido programa antivirus para entregar malware a objetivos de alto perfil en Japón.
Los investigadores de seguridad cibernética de Kaspersky descubrieron recientemente que Cicada, también conocida como APT10, engañaba a los empleados de varias organizaciones en Japón, desde empresas de medios hasta agencias gubernamentales, para que descargaran una versión comprometida de K7Security Suite de la compañía.
Aquellos que caen en la trampa terminan recibiendo LODEINFO, un malware de tres años que es capaz de ejecutar archivos PE y shellcode, cargar y descargar archivos, eliminar procesos y enviar listas de archivos, entre otras cosas.
Carga local de DLL
El malware se distribuye a través de una práctica conocida como carga lateral de DLL. Primero, la víctima debe ser dirigida a una página de descarga falsa de K7Security Suite, donde descargaría el software. El ejecutable de instalación en sí no sería malicioso, sería la solución antivirus real. Sin embargo, la misma carpeta también tendría una DLL maliciosa llamada K7SysMn1.dll.
Durante la instalación regular, el ejecutable buscará un archivo llamado K7SysMn1.dll, que generalmente no es malicioso. Si lo encuentra en la misma carpeta donde se encuentra, no buscará más y ejecutará ese archivo en su lugar.
Los actores de la amenaza luego crearían un archivo malicioso, que contiene el malware LODEINFO, y le darían el nombre de archivo K7SysMn1.dll. En otras palabras, es el antivirus. (se abre en una pestaña nueva) programa que termina cargando el malware en el punto final de destino. Y dado que una aplicación de seguridad legítima lo carga, es posible que otro software de seguridad no lo detecte como malicioso.
Los investigadores no pudieron determinar cuántas organizaciones fueron víctimas de este ataque o cuál es el objetivo final de la campaña. Sin embargo, dado quiénes son los objetivos, el espionaje cibernético es la respuesta más obvia.
La carga lateral de archivos .DLL no es un enfoque novedoso. En agosto de 2022, se informó que se abusó de Windows Defender para cargar lateralmente LockBit 3.0, una variante de ransomware infame.
Vía: BleepingComputer (se abre en una pestaña nueva)