es.cointelegraph.com
El colectivo de hackers norcoreano Lazarus Group ha estado utilizando un nuevo tipo de malware "sofisticado" como parte de sus estafas de falsos empleos, que los investigadores advierten que es mucho más difícil de detectar que su predecesor.
Según un artículo publicado el 29 de septiembre por Peter Kálnai, investigador senior de malware de ESET, al analizar un reciente ataque de falsos empleos contra una empresa aeroespacial española, los investigadores de ESET descubrieron una puerta trasera no documentada públicamente llamada LightlessCan.
#ESET researchers unveiled their findings about an attack by the North Korea-linked #APT group #Lazarus that took aim at an aerospace company in Spain.
— ESET (@ESET) September 29, 2023
▶️ Find out more in a #WeekinSecurity video with @TonyAtESET. pic.twitter.com/M94J200VQx
Investigadores de ESET revelaron sus hallazgos sobre un ataque del grupo APT Lazarus, vinculado a Corea del Norte, que apuntó a una empresa aeroespacial en España.
La estafa del falso empleo del Lazarus Group suele consistir en engañar a las víctimas con una posible oferta de empleo en una empresa conocida. Los atacantes inducían a las víctimas a descargar una carga maliciosa enmascarada como documentos para causar todo tipo de daños.
Sin embargo, Kálnai afirma que la nueva carga útil LightlessCan es un "avance significativo" en comparación con su predecesora BlindingCan.
"LightlessCan imita las funcionalidades de una amplia gama de comandos nativos de Windows, permitiendo una ejecución discreta dentro de la propia RAT en lugar de ruidosas ejecuciones de consola".
"Este enfoque ofrece una ventaja significativa en términos de sigilo, tanto para evadir soluciones de monitoreo en tiempo real como EDRs, como para herramientas forenses digitales postmortem", dijo.
️♂️ Beware of fake LinkedIn recruiters! Find out how Lazarus group exploited a Spanish aerospace company via trojanized coding challenge. Dive into the details of their cyberespionage campaign in our latest #WeLiveSecurity article. #ESET #ProgressProtected
— ESET (@ESET) September 29, 2023
️♂️ ¡Cuidado con los falsos reclutadores de LinkedIn! Descubre cómo el grupo Lazarus explotó una empresa aeroespacial española a través de un desafío de codificación troyanizado. Sumérgete en los detalles de su campaña de ciberespionaje en nuestro último artículo de #WeLiveSecurity.
La nueva "payload" también utiliza lo que el investigador denomina "barreras de seguridad de ejecución", que garantizan que la "payload" solo pueda descifrarse en la máquina de la víctima prevista, evitando así que los investigadores de seguridad la descifren involuntariamente.
Kálnai explicó que uno de los casos en los que se utilizó el nuevo malware se produjo en un ataque a una empresa aeroespacial española cuando un empleado recibió un mensaje de un falso reclutador de Meta llamado Steve Dawson en 2022.
Poco después, los hackers enviaron los dos sencillos retos de codificación incluidos en el malware.
El ciberespionaje fue la principal motivación del ataque de Lazarus Group a la empresa aeroespacial con sede en España, añadió.
Desde 2016, los hackers norcoreanos han robado unos USD 3,500 millones de proyectos de criptomonedas, según un informe del 14 de septiembre de la empresa forense de blockchain Chainalysis.
En septiembre de 2022, la firma de ciberseguridad SentinelOne advirtió de una estafa de empleo falso en LinkedIn, ofreciendo a las víctimas potenciales un trabajo en Crypto.com como parte de una campaña apodada "Dream Job Operation".
Mientras tanto, las Naciones Unidas se han esforzado por reducir las tácticas de ciberdelincuencia de Corea del Norte a nivel internacional, ya que se entiende que Corea del Norte está utilizando los fondos robados para financiar su programa de misiles nucleares.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión