El grupo de hackers norcoreano Lazarus Group consiguió acceder a la red de una empresa aeroespacial en España tras llevar a cabo una exitosa campaña de spearphishing, en la que se hicieron pasar por reclutadores de Meta a través de LinkedIn Messaging para estafar a las víctimas.
Estos estafadores enviaron dos retos de codificación requeridos como parte de un proceso de contratación, además, los usuarios descargaron ambos archivos y los ejecutaron en un dispositivo de la empresa.
Sin embargo, tras ejecutar esta acción no cometida, los investigadores de ESET descubrieron un backdoor no documentado públicamente llamado 'LightlessCan' que implementa técnicas para dificultar su detección en tiempo real y el análisis por parte de los profesionales de la ciberseguridad, no obstante, los expertos consiguieron reconstruir los pasos iniciales de acceso y analizar el conjunto de herramientas utilizadas por Lazarus Group.
Si nos adentramos en los daños que provocó este grupo de hackers, Lazarus envió el troyano 'LightlessCan' de acceso remoto para imitar las funcionalidades de una amplia gama de comandos nativos de Windows, de esta manera, realizaron una operación fraudulenta de acceso falsificado para persuadir a las víctimas con la promesa de oportunidades laborales en empresas reconocidas. Además, estos estafadores engañaron a las víctimas para que descargan un contenido malicioso que se disfrazaba como documentos legítimos, con el objetivo de infligir daños diversos.
Por otro lado, el uso de estas técnicas avanzadas por parte de LightlessCan demuestra la audacia de los hackers para evitar la detección y maximizar los daños hacia los usuarios o empresas.
El ataque tiene "implicaciones de gran alcance"
Peter Kálnai, un investigador senior en malware de ESET, explica que el nuevo ataque de Lazarus "se originó en LinkedIn, donde falsos reclutadores se acercaban a sus víctimas potenciales, que utilizaban ordenadores corporativos para fines personales".
"El aspecto más preocupante del ataque es el nuevo tipo de carga útil, LightlessCan, una herramienta compleja y posiblemente en evolución que exhibe un alto nivel de sofisticación en su diseño y funcionamiento. Los atacantes pueden ahora limitar los rastros de ejecución de sus programas favoritos de la línea de comandos de Windows, muy utilizados en su actividad posterior al compromiso".
"Esta maniobra tiene implicaciones de gran alcance, ya que afecta a la eficacia tanto de las soluciones de monitorización en tiempo real como de las herramientas forenses digitales post-mortem".
Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.
Comentarios
Hemos bloqueado los comentarios de este contenido. Sólo se mostrarán los mensajes moderados hasta ahora, pero no se podrán redactar nuevos comentarios.
Consulta los casos en los que 20minutos.es restringirá la posibilidad de dejar comentarios