El colectivo de hackers norcoreano Lazarus Team ha estado utilizando un nuevo tipo de malware «sofisticado» como parte de sus estafas de empleo falso, que los investigadores advierten que es mucho más difícil de detectar que su predecesor.
Según una publicación del 29 de septiembre del investigador senior de malware de ESET, Peter Kálnai, mientras analizaban un reciente ataque de trabajo falso contra una empresa aeroespacial con sede en España, los investigadores de ESET descubrieron una puerta trasera públicamente indocumentada llamada LightlessCan.
#ESET Los investigadores revelaron sus hallazgos sobre un ataque por parte del grupo vinculado a Corea del Norte. #APTO grupo #Lázaro que tenía como objetivo una empresa aeroespacial en España.
▶️ Descubra más en un #SemanaSeguridad vídeo con @TonyAtESET. pic.twitter.com/M94J200VQx
—ESET (@ESET) 29 de septiembre de 2023
La estafa de empleos falsos del Grupo Lazarus generalmente implica engañar a las víctimas con una posible oferta de empleo en una empresa conocida. Los atacantes incitarían a las víctimas a descargar una carga útil maliciosa disfrazada de documentos para causar todo tipo de daños.
Sin embargo, Kálnai dice que la nueva carga útil LightlessCan es un «avance significativo» en comparación con su predecesor BlindingCan.
«LightlessCan imita las funcionalidades de una amplia gama de comandos nativos de Home windows, lo que permite una ejecución discreta dentro del propio RAT en lugar de ejecuciones ruidosas en la consola».
«Este enfoque ofrece una ventaja significativa en términos de sigilo, tanto para evadir soluciones de monitoreo en tiempo true como EDR y herramientas forenses digitales post mortem», dijo.
️♂️ ¡Cuidado con los falsos reclutadores de LinkedIn! Descubra cómo el grupo Lazarus aprovechó una empresa aeroespacial española mediante un desafío de codificación troyanizado. Profundice en los detalles de su campaña de ciberespionaje en nuestro último #VivimosLaSeguridad artículo. #ESET #ProgresoProtegido
—ESET (@ESET) 29 de septiembre de 2023
La nueva carga útil también utiliza lo que el investigador llama «barandillas de seguridad de ejecución», lo que garantiza que la carga útil sólo pueda descifrarse en la máquina de la víctima prevista, evitando así el descifrado no intencionado por parte de los investigadores de seguridad.
Kálnai dijo que un caso que involucró al nuevo malware provino de un ataque a una empresa aeroespacial española cuando un empleado recibió un mensaje de un reclutador falso de Meta llamado Steve Dawson en 2022.
Poco después, los piratas informáticos enviaron dos sencillos desafíos de codificación integrados en el malware.
El ciberespionaje fue la principal motivación detrás del ataque del Grupo Lazarus a la empresa aeroespacial con sede en España, añadió.
Relacionado: Tres pasos que los inversores en criptomonedas pueden seguir para evitar los ataques del Grupo Lazarus
Desde 2016, los piratas informáticos norcoreanos han robado aproximadamente 3.500 millones de dólares de proyectos de criptomonedas, según un informe del 14 de septiembre de la empresa forense de blockchain Chainalysis.
En septiembre de 2022, la empresa de ciberseguridad SentinelOne advirtió sobre una estafa laboral falsa en LinkedIn, ofreciendo a las víctimas potenciales un trabajo en Crypto.com como parte de una campaña denominada «Operación Aspiration Occupation».
Mientras tanto, las Naciones Unidas han estado tratando de limitar las tácticas de cibercrimen de Corea del Norte a nivel internacional, ya que se entiende que Corea del Norte está utilizando los fondos robados para apoyar su programa de misiles nucleares.
Revista: 3.400 millones de dólares en Bitcoin en una lata de palomitas de maíz: la historia del hacker de la Ruta de la Seda
