LightlessCan Backdoor implantado pelo norte-coreano Lazarus APT
O Grupo Lazarus, um coletivo de hackers que opera na Coreia do Norte, empregou uma nova forma de malware avançado em seus golpes de trabalho enganosos, que os pesquisadores alertam ser significativamente mais difícil de detectar do que seu antecessor.
Ao examinar um recente ataque a um emprego falso em uma empresa aeroespacial espanhola, os pesquisadores descobriram um backdoor até então desconhecido chamado LightlessCan.
A tática de trabalho fraudulenta do Grupo Lazarus normalmente envolve enganar as vítimas com falsas ofertas de emprego em empresas renomadas. Os invasores atraem as vítimas para baixar uma carga maliciosa disfarçada na forma de documentos para causar diversas formas de danos.
Segundo os pesquisadores, a nova carga LightlessCan representa uma melhoria significativa em comparação com seu antecessor, BlindingCan.
LightlessCan recebeu atualização furtiva significativa
LightlessCan emula as funções de uma ampla variedade de comandos nativos do Windows, permitindo a execução discreta dentro do próprio RAT, em vez de por meio de execuções de console que podem desencadear alguns sinais de alerta.
Este método oferece uma vantagem significativa em termos de evasão, tanto para evitar soluções de monitoramento em tempo real, como EDRs, quanto para ferramentas forenses digitais usadas após a ocorrência de um ataque.
A nova carga também emprega o que os pesquisadores chamam de “proteções de execução”, garantindo que a carga só possa ser descriptografada na máquina da vítima pretendida, evitando assim a descriptografia não intencional por pesquisadores de segurança.
O novo malware foi usado em um ataque a uma empresa aeroespacial espanhola quando um funcionário recebeu uma mensagem de um recrutador falsificado da Meta chamado Steve Dawson.
Pouco tempo depois, os hackers enviaram dois desafios simples de codificação incorporados ao malware. A ciberespionagem foi o principal motivo por trás do ataque do Grupo Lazarus à empresa aeroespacial com sede na Espanha.
Desde 2016, hackers norte-coreanos supostamente roubaram aproximadamente US$ 3,5 bilhões de projetos de criptomoeda, de acordo com um relatório de 14 de setembro da empresa forense de blockchain Chainalysis.
