Контакты
Подписка
МЕНЮ
Контакты
Подписка

Северокорейская группа Lazarus атакует банки в Латинской Америке

Северокорейская группа Lazarus атакует банки в Латинской Америке

Северокорейская группа Lazarus атакует банки в Латинской Америке


26.11.2018



Специалисты Trend Micro подготовили отчет о деятельности северокорейской хак-группы Lazarus. Исследователи предупреждают, что с середины сентября текущего года группировка заражает бэкдорами финансовые учреждения в странах Латинской Америки.

По словам экспертов, данные атаки перекликаются с деятельностью Lazarus в 2017 году, когда группа атаковала азиатские страны. Сейчас злоумышленники так же используют в атаках файл FileTokenBroker.dll и тот же модульный бэкдор, который уже был замечен аналитиками ранее.

Малварь группы состоит из трех компонентов, каждый из которых отвечает за выполнение различных целей: AuditCred.dll/ROptimizer.dll играет роль загрузчика, который запускается как служба, Msadoz.dll – это сама зашифрованная бэкдор-малварь, а Auditcred.dll.mui/rOptimizer.dll.mui представляет собой конфигурационный файл вредоноса.

Проникнув в систему, преступники с помощью своего бэкдора получают возможность выполнять самые разные вредоносные задачи. Они могут: собирать различные данные о системе и похищать файлы, загружать дополнительную малварь, запускать или останавливать процессы, внедрять вредоносный код в запущенные процессы, удалять файлы, задействовать обратный шелл, прокси и так далее.

Эксперты Trend Micro предупреждают, что эта вредоносная кампания Lazarus сложна и опасна, равно как и другие кампании группы. Исследователи подчеркивают, что обнаруженная ими малварь намерено борется как с обнаружением, так и с удалением из системы (например, лоадер и файл конфигурации расположены в %windows%system32, тогда как сам бэкдор скрывается в другой директории, %Program Files%Common FilesSystemado).

Хакер