Attenzione alle aziende crittografiche: il nuovo malware di Lazarus ora può aggirare il rilevamento
Lazarus Group, un collettivo di hacker nordcoreano, ha utilizzato un nuovo tipo di malware come parte delle sue false truffe sull'occupazione. Questo malware, denominato LightlessCan, è molto più difficile da rilevare rispetto al suo predecessore, BlindingCan.
LightlessCan imita le funzionalità di un'ampia gamma di comandi nativi di Windows, consentendo un'esecuzione discreta all'interno del RAT stesso invece di esecuzioni rumorose sulla console. Questo approccio offre un vantaggio significativo in termini di furtività, sia nell’eludere soluzioni di monitoraggio in tempo reale come gli EDR, sia negli strumenti forensi digitali post-mortem.
Il nuovo payload utilizza anche quelli che i ricercatori chiamano "guardrail dell'esecuzione", garantendo che il payload possa essere decrittografato solo sul computer della vittima designata, evitando così la decrittazione involontaria da parte dei ricercatori di sicurezza.
In un caso, Lazarus Group ha utilizzato LightlessCan per attaccare un’azienda aerospaziale spagnola. Gli hacker hanno inviato una falsa offerta di lavoro a un dipendente e quando il dipendente ha cliccato su un collegamento nell'e-mail, il suo computer è stato infettato dal malware.
L'attacco del Gruppo Lazarus all'azienda aerospaziale è stato motivato dallo spionaggio informatico. Probabilmente gli hacker stavano cercando di rubare dati sensibili dall'azienda.