Allarme LightlessCan: il nuovo malware di Lazarus aggira i rilevamenti

Il collettivo di hacker nordcoreano noto come Lazarus torna a far parlare di sé.

A quanto pare, tali cybercriminali hanno lanciato online un nuovo e sofisticato malware, impiegato in truffe legate a falsi posti di lavoro. Questo, denominato LightlessCan, viene definito dagli esperti di sicurezza come molto più difficile da rilevare rispetto ai precedente agenti malevoli legati a Lazarus.

Peter Kálnai, ricercatore di ESET, ha individuato il nuovo malware mentre questo veniva utilizzato in un tentativo di attacco ai danni di un’azienda aerospaziale con sede in Spagna. Da questo caso, gli specialisti sono riusciti a ricostruire il modus operandi di Lazarus.

La truffa attuata dagli hacker in genere consiste nell’ingannare le vittime con una potenziale offerta di lavoro presso una nota azienda. Gli aggressori invoglierebbero le vittime a scaricare un payload dannoso, mascherato tra la documentazione relativa alle mansioni lavorative, per causare ogni tipo di danno possibile.

Kálnai afferma che  LightlessCan rappresenta un “progresso significativo” rispetto al suo predecessore, utilizzato in modo molto simile, ovvero BlindingCan.

Il malware LightlessCan imita diversi comandi nativi di Windows

Per il ricercatore, infatti “LightlessCan imita le funzionalità di un’ampia gamma di comandi nativi di Windows, consentendo un’esecuzione discreta all’interno del RAT stesso invece di esecuzioni rumorose sulla console“.

Lo stesso Kálnai ha poi aggiunto come “Questo approccio offre un vantaggio significativo in termini di furtività, sia nell’eludere soluzioni di monitoraggio in tempo reale come gli EDR, sia negli strumenti forensi“.

Il nuovo payload utilizza anche ciò che il ricercatore definisce come execution guardrails, garantendo che lo stesso possa essere decrittografato solo sul computer della vittima designata, evitando così la decrittazione involontaria da parte dei ricercatori di sicurezza.

Nel caso specifico del primo rilevamento, quello succitato dell’azienda aerospaziale, un dipendente ha ricevuto un messaggio da parte di un falso reclutatore di Meta (tale Steve Dawson) nel corso dello scorso anno.

Di certo, non si tratta della prima operazione hacker legata a false proposte di lavoro. Nel settembre 2022, la società di sicurezza informatica SentinelOne ha avvertito di una truffa perpetrata sulla piattaforma nota come LinkedIn, dove veniva offerto alle potenziali vittime un lavoro presso Crypto.com come parte di una campagna denominata Operazione Dream Job.