Cuidado con las empresas de cifrado: el nuevo malware de Lazarus ahora puede evitar la detección
Lazarus Group, un colectivo de hackers norcoreano, ha estado utilizando un nuevo tipo de malware como parte de sus estafas de empleo falso. Este malware, denominado LightlessCan, es mucho más difícil de detectar que su predecesor, BlindingCan.
LightlessCan imita las funcionalidades de una amplia gama de comandos nativos de Windows, lo que permite una ejecución discreta dentro del propio RAT en lugar de ejecuciones ruidosas de la consola. Este enfoque ofrece una ventaja significativa en términos de sigilo, tanto para evadir soluciones de monitoreo en tiempo real como EDR y herramientas forenses digitales post mortem.
La nueva carga útil también utiliza lo que los investigadores llaman "barandillas de seguridad de ejecución", lo que garantiza que la carga útil sólo pueda descifrarse en la máquina de la víctima prevista, evitando así el descifrado no intencionado por parte de los investigadores de seguridad.
En un caso, el Grupo Lazarus utilizó LightlessCan para atacar a una empresa aeroespacial española. Los piratas informáticos enviaron una oferta de trabajo falsa a un empleado y, cuando el empleado hizo clic en un enlace del correo electrónico, su computadora quedó infectada con el malware.
El ataque del Grupo Lazarus a la firma aeroespacial estuvo motivado por el ciberespionaje. Es probable que los piratas informáticos intentaran robar datos confidenciales de la empresa.
