Grupo de hackers norte-coreano Lazarus libera malware avançado em novos golpes de emprego

O Lazarus Group, um coletivo de hackers norte-coreano, empregou uma nova e altamente sofisticada variante de malware conhecida como LightlessCan em seus esquemas de emprego fraudulentos, o que representa um desafio significativo para detecção em comparação ao seu antecessor.
O pesquisador sênior de malware da ESET, Peter Kálnai, revelou essas descobertas em uma publicação em 29 de setembro, após uma análise de um ataque de emprego falso direcionado a uma empresa aeroespacial espanhola.
O modus operandi típico do Lazarus Group envolve atrair vítimas com ofertas de emprego atraentes em empresas respeitáveis ​​e enganá-las para baixar cargas maliciosas disfarçadas de documentos.
No entanto, o LightlessCan representa um avanço notável sobre seu precursor, BlindingCan. Kálnai explicou que o LightlessCan pode imitar vários comandos nativos do Windows, permitindo execução discreta dentro do próprio Remote Access Trojan (RAT), minimizando execuções ruidosas do console.
Essa furtividade aprimorada torna difícil a detecção por soluções de monitoramento em tempo real, como EDRs e ferramentas forenses digitais post-mortem.
LEIA MAIS: Empresa de capital de risco Paradigm critica abordagem não convencional da SEC no caso Binance
Além disso, o novo malware incorpora “guardrails de execução” para garantir que apenas a máquina da vítima pretendida possa descriptografar a carga útil, evitando a descriptografia não intencional por pesquisadores de segurança.
Um caso conhecido envolvendo esse novo malware teve como alvo uma empresa aeroespacial espanhola quando um funcionário recebeu uma mensagem de um recrutador falso do Meta chamado Steve Dawson em 2022. Posteriormente, os hackers enviaram dois desafios de codificação incorporados ao malware.
O principal motivo do Lazarus Group para o ataque à empresa aeroespacial espanhola foi a ciberespionagem.
Notavelmente, hackers norte-coreanos foram responsáveis ​​por roubar cerca de US$ 3,5 bilhões de projetos de criptomoedas desde 2016, conforme relatado pela empresa forense de blockchain Chainalysis em 14 de setembro.
Em setembro de 2022, a empresa de segurança cibernética SentinelOne emitiu um alerta sobre um golpe de emprego falso no LinkedIn, parte de uma campanha conhecida como “Operação Emprego dos Sonhos”, oferecendo às vítimas em potencial vagas na Crypto.com.
Simultaneamente, as Nações Unidas têm trabalhado ativamente para coibir as táticas de crimes cibernéticos da Coreia do Norte em escala internacional, pois acredita-se que os fundos roubados estão sendo usados ​​para apoiar o programa de mísseis nucleares da Coreia do Norte.
Esse esforço contínuo ressalta o impacto global e as consequências dos ataques cibernéticos orquestrados por grupos como o Lazarus.
Outras histórias:
SEC adia decisão sobre propostas de ETF de Bitcoin à vista em meio à iminente paralisação do governo
Empresa de capital de risco Paradigm critica abordagem não convencional da SEC no caso Binance
Space and Time integra seu verificador de prova de SQL em nós Chainlink