Amellett, hogy a rezsim kincstárát is segítenek megtölteni, a több észak-koreai hackercsoport laza együttműködéséből született Lazarus más szempontból is veszélyes akciókat hajt végre. Most éppen amerikai kormányzati szervek informatikai rendszereit igyekszenek megfertőzni, amihez pedig egy rendkívül rafinált módszert ötöltek ki. A hagyományos víruskeresési módszereket úgy kerüli meg legújabb alkotásuk, hogy a vizsgálatok felett álló, a Windows frissítéseit letöltő és telepítő eszközön keresztül fut le.
A Malwarebytes ismertetője szerint a hackerek, ahogy korábban is tették már néhányszor, egy álommunka lehetőségével biztatják kattintásra az áldozatokat, ezúttal két olyan Word dokumentumot küldtek körbe, ami a fájlnév és az előnézet alapján a katonai és a repülőgépipar óriása, a Lockheed Martin állásait és azok bérezését tartalmazza.
A kormánytól gyakran megbízásokat kapó cég IT-biztonságával magyarázzák azt is, hogy a dokumentum teljes megtekintéséhez engedélyezni kell a külső adatforrásokat, ami persze a valóságban a Lazarus hackereinek kódját tölti le a GitHubról.
Ezt követően a Word-dokumentumba beágyazott makrók futnak le, amik többek között a Windows frissítéseit kezelő programot fertőzik meg, hogy a PC újraindítása után is fusson a vírus, majd az operációs rendszer fájlkezelőjét is módosítják. Hogy milyen adatokat sikerülhetett megszerezniük így a Lazarus hackereinek, arról nincs pontos információnk, de az elemzés szerint nem ez az első támadás, amiben ezt a módszert és kódot alkalmazzák, a tavaly tavasszal összeállított program már egy 2021 végi akció eszköze is volt.
