Eine von Nordkorea unterstützte Hackergruppe namens Lazarus soll die Windows-Update-Routine für die Verbreitung von Malware nutzen und den Client auf die Liste der Living-off-the-Land-Binärdateien gesetzt haben, so ein
Bericht von "Bleeping Computer". Entdeckt wurde die Verbreitungsmethode von den Sicherheitsforschern von Malwarebytes, als eine Spearphishing-Kampagne untersucht wurde, die sich als das US-Luftfahrtunternehmen Lockheed Martin ausgab. Nachdem ein Opfer auf den schadhaften Anhang geklickt und die Makro-Ausführung aktiviert hat, wird ein File namens WindowsUpdateConf.lnk im Autostart-Ordner sowie eine DLL-Datei namens wuaueng.dll in einem versteckten Verzeichnis im System32-Ordner platziert. In einem nächsten Schritt startet die lnk-Datei sodann den Windows-Update-Client und veranlasst ihn, die schädliche DLL zu laden.
Wie die Malwarebytes-Experten festhalten, ermöglicht die Nutzung des Windows-Update-Clients die Umgehung von Sicherheitsmechanismen, womit ein Angriff möglichwerweise unentdeckt bleibt. Die Lazarus-Gruppe, die den Angriffsvektor nutzt, ist im Übrigen kein unbeschriebenes Blatt und soll im Jahr 2017 die weltweite Wannacry-Ransomware-Angriffswelle koordiniert haben.
(rd)
