Hackers norcoreanos atacan a compañías farmacéuticas para implementar malware a través de archivos Excel armados

Los piratas informáticos del grupo Kimsuky, patrocinados por el estado de Corea del Norte, han lanzado una campaña dirigida contra las compañías farmacéuticas de prescripción médica, utilizando un archivo de malware inteligentemente disfrazado llamado White Life Science ERP Especificación. El ataque utiliza un documento Excel falso para engañar a los empleados para que ejecuten código malicioso, dando a los atacantes acceso silencioso al sistema de la víctima.

El malware llega como un archivo llamado White Life Science ERP Especificación.lnk, un archivo de acceso directo de Windows disfrazado para parecerse exactamente a una hoja de cálculo de Excel. Los analistas de Wezard4u identificaron y examinaron de cerca este malware, revelando que el archivo.lnk actúa como un contenedor de carga múltiple que contiene un archivo Excel señuelo, un script de PowerShell, un archivo JavaScript y un XML del Programador de tareas de Windows, todo empaquetado en un único acceso directo de 23.079 bytes. El malware lleva identificadores de archivos que los equipos y analistas de seguridad pueden utilizar para una detección inmediata. Código PowerShell incluido en el malware (Fuente: Wezard4u) Cuando la víctima abre el archivo Excel falso, cmd.exe ejecuta un comando largo que llama a PowerShell a través de la ruta SysWOW64, que ejecuta la versión de 32 bits de PowerShell en un sistema Windows de 64 bits.

Los equipos de seguridad y las organizaciones farmacéuticas deben habilitar inmediatamente la visibilidad de las extensiones de archivos en la configuración de Windows para evitar que los archivos.lnk se confundan fácilmente con documentos de Excel. La publicación Hackers norcoreanos que atacan a compañías farmacéuticas para implementar malware a través de archivos Excel armados apareció por primera vez en Cyber ​​Security News.

Consultar publicación original ↗