Cuidado com as empresas de criptografia: o novo malware do Lazarus agora pode ignorar a detecção
O Lazarus Group, um coletivo de hackers norte-coreano, tem usado um novo tipo de malware como parte de seus golpes de empregos falsos. Este malware, denominado LightlessCan, é muito mais difícil de detectar do que seu antecessor, BlindingCan.
LightlessCan imita as funcionalidades de uma ampla gama de comandos nativos do Windows, permitindo execução discreta dentro do próprio RAT em vez de execuções de console barulhentas. Essa abordagem oferece uma vantagem significativa em termos de furtividade, tanto na evasão de soluções de monitoramento em tempo real, como EDRs, quanto em ferramentas forenses digitais post-mortem.
A nova carga também usa o que os pesquisadores chamam de “proteções de execução”, garantindo que a carga só possa ser descriptografada na máquina da vítima pretendida, evitando assim a descriptografia não intencional por pesquisadores de segurança.
Em um caso, o Grupo Lazarus usou o LightlessCan para atacar uma empresa aeroespacial espanhola. Os hackers enviaram uma oferta de emprego falsa a um funcionário e, quando o funcionário clicou em um link do e-mail, seu computador foi infectado pelo malware.
O ataque do Grupo Lazarus à empresa aeroespacial foi motivado por espionagem cibernética. Os hackers provavelmente estavam tentando roubar dados confidenciais da empresa.