Empresas de criptomoedas devem tomar cuidado: Novo malware do Lazarus é ainda mais difícil de ser identificado

O payload do malware “LightlessCan” – usado em falsos golpes de emprego – é muito mais difícil de detectar do que seu antecessor, alertam os pesquisadores de segurança cibernética da ESET.

O grupo norte-coreano de hackers, Lazarus Group, tem usado um novo tipo de malware “sofisticado” como parte de suas falsas ofertas de emprego, em golpes que os pesquisadores alertam ser muito mais difíceis de detectar do que o seu antecessor.

De acordo com um postagem divulgada em 29 de setembro do pesquisador sênior de malware da ESET, Peter Kálnai, ao analisar um recente ataque de falso emprego contra uma empresa aeroespacial com sede na Espanha, os pesquisadores da ESET descobriram um backdoor não documentado publicamente chamado LightlessCan.

Os pesquisadores da #ESET revelaram suas descobertas sobre um ataque do grupo #APT #Lazarus, ligado à Coreia do Norte, que teve como alvo uma empresa aeroespacial na Espanha.

▶️ Saiba mais em um vídeo da #WeekinSecurity com @TonyAtESET.

— ESET (@ESET)

O falso anúncio de emprego do Lazarus Group normalmente tenta enganar as vítimas com uma oferta de emprego em uma empresa conhecida. Os hackers induzem as vítimas a baixar um payload disfarçado de documentos para causar todo tipo de danos cibernéticos.

No entanto, Kálnai diz que a nova carga útil do LightlessCan é um “avanço significativo” em comparação com seu antecessor, o BlindingCan.

“O LightlessCan imita as funcionalidades de uma ampla gama de comandos nativos do Windows, permitindo uma execução discreta dentro do próprio RAT, em vez de execuções ruidosas no console”, disse Kálnai.

“Essa abordagem oferece uma vantagem significativa em termos de furtividade, tanto para evitar soluções de monitoramento em tempo real, como EDRs, quanto para ferramentas forenses digitais post-mortem”, acrescentou.

Cuidado com os falsos recrutadores do LinkedIn! Descubra como o Lazarus Group explorou uma empresa aeroespacial espanhola por meio de um desafio de codificação trojanizado. Conheça os detalhes de sua campanha de ciberespionagem em nosso mais recente artigo #WeLiveSecurity. #ESET #ProgressoProtegido

— ESET (@ESET)

A nova carga útil também usa o que o pesquisador chama de “barreiras de execução”, garantindo que a carga útil só possa ser descriptografada na máquina da vítima pretendida, evitando assim a descriptografia não intencional por pesquisadores de segurança.

Kálnai disse que um caso envolvendo o novo malware foi identificado em um ataque a uma empresa aeroespacial espanhola. No caso, um funcionário recebeu uma mensagem de um falso recrutador da Meta chamado Steve Dawson em 2022.

Logo depois, os hackers enviaram o malware incorporado a dois desafios de codificação simples.

Contato inicial do invasor se passando por um recrutador da Meta. Fonte: WeLiveSecurity.

Ciberespionagem foi a principal motivação por trás do ataque do Lazarus Group à empresa aeroespacial sediada na Espanha, acrescentou.

Desde 2016, os hackers norte-coreanos roubaram cerca de US$ 3,5 bilhões em criptomoedas, de acordo com um relatório de 14 de setembro da empresa forense de análise de blockchain Chainalysis.

Em setembro de 2022, a empresa de segurança cibernética SentinelOne alertou sobre um falso golpe de emprego no LinkedIn, oferecendo às vítimas em potencial um emprego na Crypto.com como parte de uma campanha apelidada de “Operation Dream Job”. 

Enquanto isso, as Nações Unidas têm tentado reduzir os crimes cibernéticos da Coreia do Norte em nível internacional, já que se sabe que o país asiático está usando os fundos roubados para financiar seu programa de mísseis nucleares.

LEIA MAIS

Você pode gostar...