Email del summit tra Stati Uniti e Corea del Nord utilizzata come esca per veicolare NavRAT

01/06/2018

malware navrat
Secondo il rapporto pubblicato da Talos che ha individuato ed analizzato il documento malevolo, ampiamente diffuso in questi giorni in Corea del Sud, emerge che il sample viene distribuito tramite allegato email che funge da downloader utilizzando come esca il summit tra i vertici della Corea del Nord e degli Stati Uniti che probabilmente avrà luogo nel Singapore il 12 giugno per discutere della denuclearizzazione della penisola coreana.
L’allegato è un documento Word Processor Hangul (HWP), un word processor utilizzato principalmente in Corea del Sud, che una volta aperto avvia il download del RAT denominato “NavRAT” da un dominio coreano probabilmente compromesso ed utilizzato come repository.
Questo trojan ha capacità di keylogger e consente di eseguire varie azioni sul computer della vittima inclusa l’esecuzioni dei comandi.

Il formato file HWP consente di incorporare codice PostScript all’interno del documento, in questo caso i criminali hanno abusato di questa funzionalità per produrre codice malevolo.

La campagna NavRAT è ancora in corso e al momento risulta localizzata in Corea del Nord, mentre la paternità pare essere attribuita a Group123.

Url
hxxp://artndesign2[.]cafe24[.]com/skin_board/s_build_cafeblog/exp_include/img.png
Documento HWP
e5f191531bc1c674ea74f8885449f4d934d5f1aa7fd3aaa283fe70f9402b9574
Sample NavRAT
4f06eaed3dd67ce31e7c8258741cf727964bd271c3590ded828ad7ba8d04ee57