- Gli aggiornamenti di Windows vengono utilizzati da Microsoft per rafforzare la difesa dei nostri sistemi.
- Tuttavia, potresti voler sapere che anche questi aggiornamenti non sono più sicuri da usare.
- Un gruppo di hacker sostenuto dalla Corea del Nord chiamato Lazarus è riuscito a comprometterli.
- Tutto ciò che le vittime devono fare è aprire gli allegati dannosi e abilitare l'esecuzione della macro.
Possedere una copia ufficiale e aggiornata del sistema operativo Windows ci offre un certo grado di sicurezza, considerando che riceviamo regolarmente aggiornamenti di sicurezza.
Ma hai mai pensato che gli aggiornamenti stessi potrebbero essere usati contro di noi un giorno? Bene, sembra che quel giorno sia finalmente arrivato e gli esperti ci avvertono delle possibili implicazioni.
Di recente, il gruppo di hacker nordcoreano chiamato Lazarus è riuscito a utilizzare il client Windows Update per eseguire codice dannoso sui sistemi Windows.
Un gruppo di hacker nordcoreani ha compromesso gli aggiornamenti di Windows
Ora, probabilmente ti starai chiedendo in quali circostanze è stato scoperto questo ultimo ingegnoso schema di attacco informatico.
Il team di Malwarebytes Threat Intelligence lo ha fatto, mentre analizzava una campagna di spearphishing di gennaio che impersonava la società americana di sicurezza e aerospaziale Lockheed Martin.
Gli aggressori che strumentano questa campagna si sono assicurati che, dopo che le vittime hanno aperto gli allegati dannosi e abilitato l'esecuzione della macro, an la macro incorporata rilascia un file WindowsUpdateConf.lnk nella cartella di avvio e un file DLL (wuaueng.dll) in un Windows/System32 nascosto cartella.
Lo streptococco successivo prevede che il file LNK venga utilizzato per avviare il client WSUS/Windows Update (wuauclt.exe) per eseguire un comando che carica la DLL dannosa degli aggressori.
Il team che ha scoperto questi attacchi li ha collegati a Lazarus sulla base delle prove esistenti, comprese le sovrapposizioni di infrastrutture, i metadati dei documenti e il targeting simile alle campagne precedenti.
Lazarus continua ad aggiornare il suo set di strumenti per eludere i meccanismi di sicurezza e sicuramente continuerà a farlo, impiegando tecniche come l'uso di KernelCallbackTable per dirottare il flusso di controllo e l'esecuzione dello shellcode.
Abbinalo all'utilizzo del client Windows Update per l'esecuzione di codice dannoso, insieme a GitHub per la comunicazione C2, e avrai la ricetta per un disastro completo e totale.
Ora che sai che questa minaccia è reale, puoi prendere più precauzioni di sicurezza ed evitare di cadere vittima di terze parti malintenzionate.
La tua macchina è mai stata infettata da malware pericoloso tramite un aggiornamento di Windows? Condividi la tua esperienza con noi nella sezione commenti qui sotto.
