Puerta trasera LightlessCan implementada por la APT norcoreana Lazarus
El Grupo Lazarus, un colectivo de hackers que opera desde Corea del Norte, ha empleado una nueva forma de malware avanzado en sus estafas laborales engañosas, que los investigadores advierten que es mucho más difícil de detectar que su predecesor.
Mientras examinaban un reciente ataque a un trabajo falso en una empresa aeroespacial española, los investigadores descubrieron una puerta trasera previamente desconocida llamada LightlessCan.
La táctica laboral fraudulenta del Grupo Lazarus suele consistir en engañar a las víctimas con ofertas de empleo falsas en empresas de renombre. Los atacantes atraen a las víctimas para que descarguen una carga maliciosa disfrazada en forma de documentos para causar diversas formas de daño.
Según los investigadores, la nueva carga útil LightlessCan representa una mejora significativa en comparación con su predecesor, BlindingCan.
LightlessCan recibió una importante mejora sigilosa
LightlessCan emula las funciones de una amplia gama de comandos nativos de Windows, lo que permite una ejecución discreta dentro del propio RAT en lugar de a través de ejecuciones de consola que podrían desencadenar algunas señales de alerta.
Este método proporciona una ventaja significativa en términos de evasión, tanto al eludir soluciones de monitoreo en tiempo real como EDR y herramientas forenses digitales utilizadas después de que se ha producido un ataque.
La nueva carga útil también emplea lo que los investigadores llamaron "barandillas de seguridad de ejecución", lo que garantiza que la carga útil sólo pueda descifrarse en la máquina de la víctima prevista, evitando así el descifrado no intencionado por parte de los investigadores de seguridad.
El nuevo malware se utilizó en un ataque a una empresa aeroespacial española cuando un empleado recibió un mensaje de un reclutador de Meta falso llamado Steve Dawson.
Poco después, los piratas informáticos enviaron dos sencillos desafíos de codificación integrados con el malware. El ciberespionaje fue el motivo principal detrás del ataque del Grupo Lazarus a la empresa aeroespacial con sede en España.
Desde 2016, los piratas informáticos norcoreanos supuestamente han robado aproximadamente 3.500 millones de dólares de proyectos de criptomonedas, según un informe del 14 de septiembre de la empresa forense de blockchain Chainalysis.