North Korean Lazarus Group utiliza malware avanzado en estafas laborales
Summary:
El Grupo Lazarus de Corea del Norte está implementando un malware más avanzado, denominado LightlessCan, en sus estafas de trabajo falsas, lo que hace que la detección sea significativamente más desafiante. Detectada por primera vez en un ataque a una empresa aeroespacial española, la carga útil mejorada tiene características innovadoras que mejoran su sigilo y la protegen del descifrado involuntario por parte de los analistas de seguridad. Los hackers suelen cebar a las víctimas con ofertas de trabajo lucrativas falsas y engañarlas para que descarguen una carga útil maliciosa. Desde 2016, los piratas informáticos norcoreanos han robado un estimado de $ 3.5 mil millones de proyectos de criptomonedas.
La cohorte de hackers norcoreanos, Lazarus Group, ha estado empleando malware avanzado en sus llamadas artimañas de estafa laboral, lo que representa un desafío mayor para la detección que su iteración anterior. El 29 de septiembre, Peter Kálnai, investigador senior de malware en ESET, detalló su análisis de una reciente estafa de reclutamiento falsa dirigida a una empresa aeroespacial española, donde se identificó una puerta trasera previamente no registrada llamada LightlessCan.
El MO para el fraude de reclutamiento del Grupo Lazarus generalmente implica cebar a las víctimas con una oportunidad de trabajo potencialmente lucrativa en una empresa de buena reputación. Los candidatos desprevenidos son engañados para que descarguen una carga útil dañina disfrazada de documentos, que luego causan estragos en sus sistemas. Sin embargo, Kálnai destacó que la nueva carga útil LightlessCan representa una "actualización importante" de su contraparte anterior, BlindingCan.
LightlessCan imita varios comandos nativos de Windows, lo que facilita la ejecución sigilosa dentro de la RAT, en lugar de las ejecuciones de consola visibles. "Este método proporciona un beneficio considerable en términos de evasión, ayudando a evitar soluciones de vigilancia en tiempo real como los EDR y frustrando las herramientas forenses digitales posteriores al incidente", comentó.
La carga útil actualizada también incorpora lo que Kálnai denomina "barandillas de ejecución", asegurando que la carga útil solo se pueda decodificar en el sistema de la víctima destinada, evitando así el descifrado no deseado por parte de los analistas de seguridad. El nuevo malware fue detectado por primera vez en un ataque a una empresa aeroespacial española, donde un empleado recibió un mensaje de un reclutador ficticio de Meta, Steve Dawson, en 2022. Los hackers enviaron rápidamente un par de desafíos de codificación sin complicaciones mezclados con el malware.
El ciberespionaje fue el principal impulso para el asalto de Lazarus Group a la firma española, agregó Kálnai. Los informes estiman que los piratas informáticos norcoreanos han robado aproximadamente $ 3.5 mil millones de proyectos de criptomonedas desde 2016, según lo informado por la firma forense de blockchain Chainalysis el 14 de septiembre. El año anterior, la compañía de ciberseguridad SentinelOne señaló una estafa laboral en LinkedIn, donde a las víctimas se les ofrecía trabajo en Crypto.com, bajo una operación llamada "Dream Job".
Mientras tanto, las Naciones Unidas están haciendo esfuerzos concertados para frenar las actividades cibercriminales de Corea del Norte en el escenario global, dado el entendimiento de que Corea del Norte está desviando los fondos ilícitos para mantener su iniciativa de misiles nucleares.
Published At
10/2/2023 3:04:57 AM
Disclaimer: Algoine does not endorse any content or product on this page. Readers should conduct their own research before taking any actions related to the asset, company, or any information in this article and assume full responsibility for their decisions. This article should not be considered as investment advice. Our news is prepared with AI support.
Do you suspect this content may be misleading, incomplete, or inappropriate in any way, requiring modification or removal?
We appreciate your report.