Neste ataque recente do grupo Lazarus, um grupo de ciberespionagem ligado à Coreia do Norte, os pesquisadores da ESET descobriram uma operação sofisticada que envolveu a criação de um perfil falso no LinkedIn por um suposto recrutador da Meta (a empresa por trás do Facebook, Instagram e WhatsApp). Esse falso recrutador entrou em contato com funcionários de uma empresa aeroespacial na Espanha e os enganou para que abrissem um executável malicioso disfarçado de desafio de programação ou quiz.
Os funcionários foram apresentados a dois desafios de codificação: o primeiro exibia a mensagem "Hello, World!", e o segundo gerava uma sequência de Fibonacci. Ao executarem esses desafios, os funcionários inadvertidamente instalaram um backdoor (porta dos fundos) chamado LightlessCan em seus sistemas. Este backdoor permitia aos atacantes realizar diversas ações maliciosas nos computadores das vítimas, sem serem detectados.
O ataque utilizou várias etapas de execução para ocultar sua presença, incluindo o uso de técnicas de carregamento lateral de DLLs e a implementação de guardrails de execução, que garantiam que o payload só pudesse ser descriptografado na máquina específica da vítima. Além disso, os atacantes empregaram um novo tipo de payload chamado LightlessCan, que representa um avanço significativo em relação às capacidades de seu antecessor, BlindingCan. O LightlessCan é capaz de mimetizar funcionalidades de comandos nativos do Windows, dificultando a detecção e análise por ferramentas de segurança em tempo real e pós-mortem.
Este ataque ressalta a sofisticação em constante evolução dos métodos utilizados por grupos de ciberespionagem como o Lazarus. Apesar da conscientização pública sobre esses tipos de ataques, a engenhosidade dos invasores ainda permite que eles tenham sucesso em suas campanhas.
Clique aqui e confira a análise completa publicada em inglês.