Empresas de criptomoedas devem tomar cuidado: Novo malware do Lazarus é ainda mais difícil de ser identificado
O payload do malware “LightlessCan” – usado em falsos golpes de emprego – é muito mais difícil de detectar do que seu antecessor, alertam os pesquisadores de segurança cibernética da ESET.
O grupo norte-coreano de hackers, Lazarus Group, tem usado um novo tipo de malware “sofisticado” como parte de suas falsas ofertas de emprego, em golpes que os pesquisadores alertam ser muito mais difíceis de detectar do que o seu antecessor.
De acordo com um postagem divulgada em 29 de setembro do pesquisador sênior de malware da ESET, Peter Kálnai, ao analisar um recente ataque de falso emprego contra uma empresa aeroespacial com sede na Espanha, os pesquisadores da ESET descobriram um backdoor não documentado publicamente chamado LightlessCan.
#ESET researchers unveiled their findings about an attack by the North Korea-linked #APT group #Lazarus that took aim at an aerospace company in Spain.
▶️ Find out more in a #WeekinSecurity video with @TonyAtESET. pic.twitter.com/M94J200VQx
— ESET (@ESET) September 29, 2023
Os pesquisadores da #ESET revelaram suas descobertas sobre um ataque do grupo #APT #Lazarus, ligado à Coreia do Norte, que teve como alvo uma empresa aeroespacial na Espanha.
▶️ Saiba mais em um vídeo da #WeekinSecurity com @TonyAtESET.
— ESET (@ESET)
O falso anúncio de emprego do Lazarus Group normalmente tenta enganar as vítimas com uma oferta de emprego em uma empresa conhecida. Os hackers induzem as vítimas a baixar um payload disfarçado de documentos para causar todo tipo de danos cibernéticos.
No entanto, Kálnai diz que a nova carga útil do LightlessCan é um “avanço significativo” em comparação com seu antecessor, o BlindingCan.
“O LightlessCan imita as funcionalidades de uma ampla gama de comandos nativos do Windows, permitindo uma execução discreta dentro do próprio RAT, em vez de execuções ruidosas no console”, disse Kálnai.
“Essa abordagem oferece uma vantagem significativa em termos de furtividade, tanto para evitar soluções de monitoramento em tempo real, como EDRs, quanto para ferramentas forenses digitais post-mortem”, acrescentou.
️♂️ Beware of fake LinkedIn recruiters! Find out how Lazarus group exploited a Spanish aerospace company via trojanized coding challenge. Dive into the details of their cyberespionage campaign in our latest #WeLiveSecurity article. #ESET #ProgressProtected
— ESET (@ESET) September 29, 2023
Cuidado com os falsos recrutadores do LinkedIn! Descubra como o Lazarus Group explorou uma empresa aeroespacial espanhola por meio de um desafio de codificação trojanizado. Conheça os detalhes de sua campanha de ciberespionagem em nosso mais recente artigo #WeLiveSecurity. #ESET #ProgressoProtegido
— ESET (@ESET)
A nova carga útil também usa o que o pesquisador chama de “barreiras de execução”, garantindo que a carga útil só possa ser descriptografada na máquina da vítima pretendida, evitando assim a descriptografia não intencional por pesquisadores de segurança.
Kálnai disse que um caso envolvendo o novo malware foi identificado em um ataque a uma empresa aeroespacial espanhola. No caso, um funcionário recebeu uma mensagem de um falso recrutador da Meta chamado Steve Dawson em 2022.
Logo depois, os hackers enviaram o malware incorporado a dois desafios de codificação simples.
Ciberespionagem foi a principal motivação por trás do ataque do Lazarus Group à empresa aeroespacial sediada na Espanha, acrescentou.
Desde 2016, os hackers norte-coreanos roubaram cerca de US$ 3,5 bilhões em criptomoedas, de acordo com um relatório de 14 de setembro da empresa forense de análise de blockchain Chainalysis.
Em setembro de 2022, a empresa de segurança cibernética SentinelOne alertou sobre um falso golpe de emprego no LinkedIn, oferecendo às vítimas em potencial um emprego na Crypto.com como parte de uma campanha apelidada de “Operation Dream Job”.
Enquanto isso, as Nações Unidas têm tentado reduzir os crimes cibernéticos da Coreia do Norte em nível internacional, já que se sabe que o país asiático está usando os fundos roubados para financiar seu programa de mísseis nucleares.
LEIA MAIS