Bitsran

O Lazarus APT (Ameaça Persistente Avançada) é um notório grupo hackers, originário da Coréia do Norte. Acredita-se amplamente que suas atividades criminosas são patrocinadas pelo Estado norte-coreano. Eles têm um grande arsenal de ferramentas de hacking, entre as quais está o Bitsran Trojan-dropper. Essa ferramenta de hacking parece servir como uma carga útil de primeiro estágio, que visa enfraquecer as medidas de segurança do sistema para que os invasores possam plantar mais malware.

Os pesquisadores de malware acreditam que os autores do Trojan-dropper Bitsran podem estar usando '.LNK 'arquivos ou documentos do Microsoft Office na forma de um anexo a um email para propagar essa ameaça. Assim que o usuário do Bitsran conseguir se infiltrar em um computador, ele colocará todos os arquivos na pasta %TEMP% localizada no diretório do Windows. Em seguida, o conta-gotas da Bitsran ganhará persistência ao adulterar o Registro do Windows no host comprometido. Isso garante que o conta-gotas do Bitsran Trojan seja executado toda vez que o sistema for reinicializado.

O dropper Bitsran é capaz de detectar a presença de aplicativos anti-malware na máquina infiltrada. Se a ameaça detectar algum processo vinculado a ferramentas anti-vírus, ele tentará eliminá-los. Bitsran usa uma técnica interessante para ofuscar sua carga útil. O executável principal do conta-gotas, 'bitstran.exe', tem um arquivo BMP (arquivo de imagem) incorporado a ele. A imagem não tem sentido, mas o arquivo tem dados adicionais aninhados nela - este é o lugar de onde Bitsran busca a carga principal e continua a desempacotá-la e executá-la. Parece que o objetivo principal do conta-gotas Bitsran Trojan é plantar o Hermes Ransomware nos computadores infectados.

Os usuários precisam se lembrar de manter todos os seus softwares atualizados e usar uma ferramenta anti-malware de boa reputação para proteger os seus sistemas e os seus dados contra ameaças como o dropper Bitsran.