Модифицированное ПО позволяет получить доступ к системе для кражи файлов, создания снимков экрана и регистрации клавиш.
Северокорейская киберпреступная группировка Lazarus Group снова организовывает атаки на исследователей в области кибербезопасности. На этот раз хакеры используют троянизированную версию популярного приложения для обратной разработки IDA Pro.
IDA Pro — приложение, преобразующее исполняемый файл в язык ассемблера, позволяя исследователям и программистам анализировать работу программы и обнаруживать потенциальные ошибки. Исследователи безопасности обычно используют IDA для анализа легитимного программного обеспечения на наличие уязвимостей и вредоносных программ, а также для выявления вредоносного поведения.
Однако IDA Pro является дорогим приложением и некоторые исследователи скачивают пиратскую взломанную версию. Как и в случае с любым пиратским программным обеспечением, всегда существует риск запуска вредоносных исполняемых файлов. Именно это и обнаружил исследователь из ESET Антон Черепанов в пиратской версии IDA Pro 7.5, распространяемой хакерской группой Lazarus.
Преступники внедрили в установщик IDA Pro две вредоносные DLL-библиотеки (idahelp.dll и win_fw.dll), которые запускаются при установке программы. Файл win_fw.dll создает новую задачу в планировщике задач Windows, которая запускает программу idahelper.dll. Затем idahelper.dll подключается к сайту devguardmap[.]org и загружает троян для удаленного доступа NukeSped. Троян позволяет злоумышленникам получить доступ к устройству для кражи файлов, создания снимков экрана, регистрации.
«Основываясь на домене и троянизированном приложении, мы связали вредоносное ПО с активностью Lazarus Group, о которой ранее сообщали Google Threat Analysis Group и Microsoft », — сообщили эксперты.
Разбираем кейсы, делимся опытом, учимся на чужих ошибках