El grupo de hackers Lazarus, conocidos por su vinculación con el ransomware WannaCry, o ataques a grandes firmas tales como Sony y múltiples bancos a nivel internacional, ha reaparecido con un nuevo método para difundir malware aprovechándose de Windows Update.
La víctima en este caso ha sido la empresa multinacional especializada en la industria aeroespacial Lockheed Martin, donde el grupo de hackers norcoreano se hizo pasar por esta empresa a través de una campaña de spearphishing, según menciona el análisis realizado por Malwarebytes.
Cómo Lazarus se aprovechó de Windows Update para inyectar malware
El proceso descrito por la firma de seguridad involucra a la apertura de un documento con código malicioso por parte de la víctima. Tras esto, se envía un archivo denominado 'WindowsUpdateConf.lnk' a la carpeta de inicio y un archivo DLL (wuaueng.dll) a la carpeta de Windows/System32.
El archivo LNK mencionado antes abre el cliente de Windows Update (wuauclt.exe), permitiendo ejecutar un comando que carga el archivo DLL malicioso del atacante. Como bien afirman desde Malwarebytes, esta técnica hace uso de Windows Update para esquivar todo tipo de mecanismos de detección y seguridad por parte del sistema, ocultándose y ejecutando el código.
Desde el momento en el que Windows Update permite esto, el ejecutable se convierte en lo que se conoce como 'LoLBins' (del inglés living-off-the-land binaries). Estos son ejecutables firmados por Microsoft que pueden ser aprovechados para ejecutar código malicioso.
La investigación llevada a cabo por parte de Malwarebytes acusa al grupo Lazarus debido a ciertas evidencias y metadatos usados anteriormente por este grupo de hackers. Según afirma el medio BleepingComputer, este método fue hallado por primera vez en octubre de 2020, cuando el investigador David Middlehurst descubrió que se podía aprovechar un agujero de seguridad en Windows Update para inyectar malware.
