Windows Update wurde gehackt, um den PC mit Malware zu infizieren

Windows Update wurde gehackt, um den PC mit Malware zu infizieren

Lazarus, eine bekannte Cyberkriminalitätsgruppe mit Verbindungen zur nordkoreanischen Regierung, hat den Windows Update-Client erfolgreich zur Verbreitung von Malware missbraucht, wie Cybersicherheitsforscher von Malwarebytes herausgefunden haben.

In einem Blogbeitrag, in dem sie ihre Ergebnisse detailliert darlegten, sagten die Forscher, sie untersuchten eine Phishing-Kampagne, bei der sie sich als Lockheed Martin ausgab, ein amerikanisches Unternehmen für Luft- und Raumfahrt, Waffen, Verteidigung, Informationssicherheit und Technologie.

Die Gruppe verteilte zwei Dateien: Lockheed_Martin_JobOpportunities.docx und Salary_Lockheed_Martin_job_opportunities_confidential.doc, die sich offensichtlich an Personen richteten, die an einer Stelle im Unternehmen interessiert waren.

bösartige Makros

Die Dokumente selbst enthielten bösartige Makros, die bei Aktivierung eine WindowsUpdateConf.lnk-Datei im Startordner des Zielterminals und eine DLL-Datei (wuaueng.dll) im Windows/System32-Ordner ablegten.

Danach startet die .lnk-Datei den Windows Update-Client, der wiederum die schädliche DLL startet.

„Dies ist eine interessante Technik, mit der Lazarus seine schädliche DLL mithilfe des Windows Update-Clients ausführt“, um Antivirenlösungen und andere Sicherheitsmechanismen zu umgehen.

„Mit dieser Methode kann der Bedrohungsakteur seinen Schadcode über den Microsoft Windows Update-Client ausführen, indem er die folgenden Argumente übergibt: /UpdateDeploymentProvider, Pfad zur Malware-DLL und /RunHandlerComServer-Argument nach der DLL.“

Dies ist nicht das erste Mal, dass jemand den Windows Update-Client ausnutzt, um Malware auszuführen, denn im Oktober 2020 entdeckte der MDSec-Forscher David Middlehurst den Fehler und missbrauchte ihn sogar.

Wir haben noch nicht gesehen, was Microsoft diesbezüglich unternehmen wird, aber wie üblich ist beim Herunterladen und Ausführen von Dokumenten, die per E-Mail eingehen, große Vorsicht geboten, insbesondere wenn dafür die Aktivierung von Makros erforderlich ist.

Lazarus ist eine der gefährlichsten Cyberkriminalitätsgruppen der Welt und bekannt für ihre Beteiligung am WannaCry-Fiasko sowie für den Angriff auf Sony, nachdem das Unternehmen einen Comedy-Film veröffentlicht hatte, der im fiktiven Nordkorea spielt.

Via: BleepingComputer