Attention aux entreprises de cryptographie : le nouveau malware de Lazarus peut désormais contourner la détection
Lazarus Group, un collectif de hackers nord-coréen, utilise un nouveau type de malware dans le cadre de ses fausses escroqueries à l'emploi. Ce malware, baptisé LightlessCan, est bien plus difficile à détecter que son prédécesseur, BlindingCan.
LightlessCan imite les fonctionnalités d'un large éventail de commandes Windows natives, permettant une exécution discrète au sein du RAT lui-même au lieu d'exécutions bruyantes sur la console. Cette approche offre un avantage significatif en termes de furtivité, à la fois pour échapper aux solutions de surveillance en temps réel telles que les EDR et aux outils d'investigation numérique post-mortem.
La nouvelle charge utile utilise également ce que les chercheurs appellent des « garde-fous d'exécution », garantissant que la charge utile ne peut être déchiffrée que sur la machine de la victime prévue, évitant ainsi un décryptage involontaire par les chercheurs en sécurité.
Dans un cas, le groupe Lazarus a utilisé LightlessCan pour attaquer une entreprise aérospatiale espagnole. Les pirates ont envoyé une fausse offre d'emploi à un employé, et lorsque l'employé a cliqué sur un lien contenu dans l'e-mail, son ordinateur a été infecté par le logiciel malveillant.
L'attaque du groupe Lazarus contre l'entreprise aérospatiale était motivée par le cyberespionnage. Les pirates tentaient probablement de voler des données sensibles à l’entreprise.