Den berygtede nord-koreanske hacker-gruppe Lazarus er begyndt at sprede malware via Microsoft Update.
Lazarus har ifølge sikkerhedsselskabet Malwarebytes nemlig tilføjet Windows Update-klienten til sin såkaldte LOLbins-liste.
LOLbins står for ‘living-off-the-land-binaries’ og er udtryk for hacker-gruppens liste over bredt anvendte og tilladte systemfiler, som kan udnyttes til at plante malware.
Malwarebytes har registreret den nye angrebs-metode fra Lazarus under analysen af et spearphishing-angreb, som hackerne har camoufleret som dokumenter fra Lockheed Martin.
Åbner man de inficerede attachements i mailen, vil en embedded macro plante en WindowsUpdateConf.lnk-fil i startup-filen og en DLL-fil med navnet wuaueng.dll i en Windows/System32-folder, hedder det.
Lnk-filen kan dernæst anvendes til at starte WSUS/Windows Update-klienten til at afvikle en kommando, som oploader hackernes malware.
Malwarebytes kalder metoden for ‘interessant.’
“Det er en interessant teknik, som Lazarus anvender til at afvikle gruppens skadelige DLL ved at anvende Windows Update Client til at omgå sikkerheds-værktøjer,” lyder det fra Malwarebytes.
Du kan læse mere om den konkrete metode, som Lazarus ifølge Malwarebytes vil anvende ved at klikke her.