Malwarebytes’ten siber güvenlik araştırmacıları, Şimal Kore hükümetiyle bağlantılı olduğu malum bir siber kabahat grubu olan Lazarus‘un, fena amaçlı yazılım dağıtmak için Windows Update İstemcisini kötüye kullanmayı başardığını açıkladı. Araştırmacılar, bulgularını detaylandıran bir blog yazısında, bir Amerikan havacılık, tabanca, savunma, data güvenliği ve teknoloji şirketi olan Lockheed Martin‘i yansılamak eden bir kimlik avı kampanyasını araştırdıklarını söylemiş oldu.
Grup, Lockheed_Martin_JobOpportunities.docx ve Salary_Lockheed_Martin_job_opportunities_confidential.doc adlı iki dosya dağıtıyor ve firmada işe girmek isteyen insanların ilgisini çekip onları tuzağa düşürmeyi hedefliyor. Belgelerin içinde bulunan makrolar çalıştırıldığında başlangıç klasörüne WindowsUpdateConf.lnk dosyası ve Windows/System32 klasörüne bir DLL dosyası (wuaueng.dll) atıyor.
Otomatik başlatılan dosya Windows Update istemcisini çalıştırıyor, istemci de fena niyetli yazılım içeren DLL dosyasını çalıştırıyor.
Dünyanın en tehlikeli siber kabahat gruplarından kabul edilen Lazarus, WannaCry virüsü ve Sony’ye meydana getirilen saldırıyla ün kazanmıştı. Microsoft’un bu yeni tehlike mevzusunda ne yapacağı mevzusunda hemen hemen bir data gelmiş değil.