Các công ty tiền điện tử hãy cẩn thận: Phần mềm độc hại mới của Lazarus hiện có thể vượt qua sự phát hiện

Lazarus Group, một tập đoàn hack của Triều Tiên, đã sử dụng một loại phần mềm độc hại mới như một phần của các vụ lừa đảo việc làm giả mạo. Phần mềm độc hại này, được đặt tên là LightlessCan, khó phát hiện hơn nhiều so với phần mềm tiền nhiệm của nó, BlindingCan.

LightlessCan bắt chước các chức năng của một loạt lệnh Windows gốc, cho phép thực thi kín đáo trong chính RAT thay vì thực thi bảng điều khiển ồn ào. Cách tiếp cận này mang lại lợi thế đáng kể về khả năng tàng hình, cả trong việc trốn tránh các giải pháp giám sát thời gian thực như EDR và ​​​​các công cụ pháp y kỹ thuật số sau khi khám nghiệm tử thi.

Tải trọng mới cũng sử dụng cái mà các nhà nghiên cứu gọi là "lan can thực thi", đảm bảo rằng tải trọng chỉ có thể được giải mã trên máy của nạn nhân dự định, do đó tránh được việc giải mã ngoài ý muốn của các nhà nghiên cứu bảo mật.

Trong một trường hợp, Tập đoàn Lazarus đã sử dụng LightlessCan để tấn công một công ty hàng không vũ trụ Tây Ban Nha. Tin tặc đã gửi một lời mời làm việc giả mạo cho một nhân viên và khi nhân viên đó nhấp vào liên kết trong email, máy tính của họ đã bị nhiễm phần mềm độc hại.

Cuộc tấn công của Tập đoàn Lazarus vào công ty hàng không vũ trụ được thúc đẩy bởi hoạt động gián điệp mạng. Các tin tặc có thể đang cố gắng đánh cắp dữ liệu nhạy cảm từ công ty.

#YasinCoder

#Malware

#Attack