Распространению вируса Lazarus поспособствовало то, что южнокорейских пользователей интернета часто просят установить дополнительные программы безопасности при посещении правительственных сайтов или веб-сайтов интернет-банкинга, пояснил руководитель расследования Антон Черепанов.
«В Южной Корее распространена программа установки интеграций Wizvera VeraPort. После установки пользователи получают возможность скачать необходимое ПО для работы определенного веб-сайта. Обычно такая схема используется правительственными и банковскими сайтами Южной Кореи. Для некоторых из этих сайтов обязательно наличие Wizvera VeraPort», — рассказал Черепанов.
Злоумышленники использовали незаконно полученные сертификаты подписи кода для внедрения образцов вредоносного ПО. Причем один из этих сертификатов был выдан фирме, специализирующейся на безопасности — американскому филиалу южнокорейской охранной компании.
«Хакеры замаскировали образцы вредоносного ПО Lazarus под легальные программы. Эти образцы имеют такие же имена файлов, значки и ресурсы, что и законное южнокорейское программное обеспечение», — уточнил Питер Калнаи, участвовавший в расследовании атаки.
Анализ Eset в очередной раз продемонстрировал нестандартный характер используемых методов вторжения, шифрования и настройки сетевой инфраструктуры, ставший «визитной карточкой» хакеров Lazarus.