Os pesquisadores da ESET analisam a atividade recente do notório grupo APT: Lazarus group adulteração de software de segurança.
Os pesquisadores da ESET descobriram uma campanha do Lazarus Group especificamente voltada para os usuários da Internet sul-coreanos. Os invasores usam um programa malicioso que infecta a cadeia de suprimentos de software com uma manipulação incomum. Para fazer isso, os hackers usam indevidamente um software de segurança sul-coreano legítimo chamado WIZVERA VeraPort e certificados digitais. Na Coreia do Sul, é prática comum que, ao visitar sites governamentais ou de internet banking, os usuários sejam frequentemente solicitados a instalar software de segurança adicional. Os pesquisadores da ESET publicaram agora sua análise detalhada no WeliveSecurity.
“WIZVERA VeraPort é um aplicativo sul-coreano especial para instalar e gerenciar software de segurança adicional. É necessária uma interação mínima do usuário para iniciar tal instalação de software”, explica Anton Cherepanov, o pesquisador da ESET que liderou a investigação sobre o ataque. “Normalmente, esse software é usado por sites governamentais e bancários. Para alguns desses sites é obrigatório instalar o WIZVERA Veraport.”
Certificado de assinatura de código ilegal
Para espalhar o malware usado, os invasores usam certificados de assinatura de código obtidos ilegalmente. Estes foram originalmente emitidos para uma filial dos EUA de uma empresa de segurança sul-coreana. “Os invasores disfarçam o malware como software legítimo. Os programas maliciosos têm nomes de arquivos, ícones e recursos semelhantes para legítimos softwares sul-coreanos", diz o pesquisador da ESET Peter Kálnai, "É a combinação de sites comprometidos com suporte WIZVERA VeraPort e configurações específicas do VeraPort que permitem que os invasores realizem esse ataque".
Grupo Lázaro está por trás da campanha?
Os especialistas da ESET encontraram evidências de que o ataque pode ser atribuído ao Lazarus Group. A campanha atual é uma continuação do que o CERT da Coréia do Sul (KrCERT) apelidou de Operação BookCodes. Esta campanha foi também atribuída ao grupo APT.
Outras pistas incluem características típicas das ferramentas usadas, métodos de criptografia, configuração da infraestrutura de rede e o fato de o ataque ter ocorrido na Coréia do Sul, onde o Lazarus opera.
Saiba mais em WeLiveSecurity da ESET.com
Sobre ESET A ESET é uma empresa europeia com sede em Bratislava (Eslováquia). Desde 1987, a ESET vem desenvolvendo software de segurança premiado que já ajudou mais de 100 milhões de usuários a desfrutar de tecnologias seguras. O amplo portfólio de produtos de segurança abrange todas as principais plataformas e oferece a empresas e consumidores em todo o mundo o equilíbrio perfeito entre desempenho e proteção proativa. A empresa possui uma rede global de vendas em mais de 180 países e escritórios em Jena, San Diego, Cingapura e Buenos Aires. Para mais informações, visite www.eset.de ou siga-nos no LinkedIn, Facebook e Twitter.