Kriminelle entführen ein Antivirus-Tool, um Malware zu versenden

Cybersicherheitsforscher von Kaspersky haben kürzlich gesehen, wie Cicada, das außerdem APT10 genannt wird, Mitarbeiter von Hunderten von Organisationen in Japan austrickst – von Medienunternehmen bis hin zu Behörden Agenturen dazu bringt, eine kompromittierte Version der K7Security Suite des Unternehmens herunterzuladen.

Diese, die auf den Trick hereinfallen, bekommen LODEINFO, eine 3 Jahre verwendete Malware, die unter anderem PE-Dateien und Shellcode ausführen, Dateien hoch- und herunterladen, Prozesse beenden und Dateilisten versenden kann Dinge.DLL-Seitenladen

Die Malware wird durch eine Folge verteilt, die als DLL-Seitenladen identifiziert wird. Erstens möchte das Opfer auf eine gefälschte K7Security Suite-Downloadseite geführt werden, den Build, den es für das Tool herunterladen würde. Die ausführbare Installationsdatei selbst wäre nicht bösartig – sie wäre die echte Antivirenlösung. Allerdings würde der identische Ordner außerdem eine bösartige DLL namens K7SysMn1.dll enthalten.

Während der regulären Installation wird die ausführbare Datei eine Datei namens K7SysMn1.dll anzeigen, die jetzt meistens nicht bösartig ist. Wenn es im selben Ordner gefunden wird, in dem sich das Build befindet, wird es nicht weiter erstellt und kann möglicherweise diese Datei in seinem Build speichern.

Die Bedrohungsakteure würden dann eine schädliche Datei fabrizieren, c