LightlessCan Malware

Os cibercriminosos executaram um ataque de espionagem contra uma empresa aeroespacial não revelada na Espanha. Neste incidente, os atores da ameaça assumiram o disfarce de um recrutador afiliado ao Meta (antigo Facebook) para atingir os funcionários da empresa. Esses funcionários foram contatados através do LinkedIn pelo recrutador fraudulento e posteriormente enganados para baixar e abrir um arquivo executável ameaçador. O arquivo enganoso foi apresentado como um desafio ou teste de codificação. Os sistemas comprometidos foram posteriormente infectados por uma ameaça de backdoor até então desconhecida, rastreada como LightlessCan.

Este ataque cibernético faz parte de uma campanha bem estabelecida de spear-phishing conhecida como “Operação Dream Job”. É orquestrado pelo Grupo Lazarus, um ator de APT (Advanced Persistent Threat) ligado à Coreia do Norte. O objetivo principal da Operação Dream Job é atrair funcionários que atuam em organizações de interesse estratégico. Os invasores usam a promessa de oportunidades de emprego atraentes como isca para iniciar a cadeia de infecção, com o objetivo final de comprometer os sistemas e dados dos seus alvos.

Uma Cadeia de Ataque em Vários Estágios Entrega o LightlessCan Malware

A cadeia de ataque começa quando o indivíduo alvo recebe uma mensagem via LinkedIn de um recrutador fraudulento que afirma representar Meta Platforms. Esse falso recrutador então envia dois desafios de codificação, aparentemente como parte do processo de recrutamento. Eles convenceram com sucesso a vítima a executar esses arquivos de teste, que estão hospedados em uma plataforma de armazenamento em nuvem de terceiros e chamados Quiz1.iso e Quiz2.iso.

Como identificaram os especialistas em segurança cibernética, esses arquivos ISO carregam arquivos binários maliciosos conhecidos como Quiz1.exe e Quiz2.exe. Espera-se que as vítimas baixem e executem os arquivos em um dispositivo fornecido pela empresa visada. Fazer isso resultará no comprometimento do sistema, levando a uma violação da rede corporativa.

Essa violação abre a porta para a implantação de um downloader HTTP(S) conhecido como NickelLoader. Com esta ferramenta, os invasores ganham a capacidade de injetar qualquer programa desejado diretamente na memória do computador da vítima. Entre os programas implantados estavam o Trojan de acesso remoto LightlessCan e uma variante do BLINDINGCAN, conhecida como miniBlindingCan (também conhecido como AIRDRY.V2). Essas ferramentas ameaçadoras podem conceder aos invasores acesso remoto e controle sobre o sistema comprometido.

O LightlessCan Representa uma Evolução do Poderoso Arsenal do Lazarus

O aspecto mais preocupante do ataque gira em torno da introdução de uma nova carga chamada LightlessCan. Esta ferramenta sofisticada apresenta um avanço significativo em capacidades prejudiciais quando comparada ao seu antecessor, BLINDINGCAN (também conhecido como AIDRY ou ZetaNile). O BLINDINGCAN já era um malware rico em recursos, capaz de extrair informações confidenciais de hosts comprometidos.

O LightlessCan está equipado com suporte para até 68 comandos distintos, embora sua versão atual incorpore apenas 43 desses comandos com pelo menos alguma funcionalidade. Quanto ao miniBlindingCan, ele lida principalmente com tarefas como transmissão de informações do sistema e download de arquivos recuperados de um servidor remoto.

Uma característica marcante desta campanha é a implantação de guarda-corpos de execução. Essas medidas evitam que as cargas sejam descriptografadas e executadas em qualquer máquina que não seja a da vítima pretendida.

O LightlessCan foi projetado para operar de forma a emular as funcionalidades de vários comandos nativos do Windows. Isso permite que o RAT execute uma execução discreta dentro de si mesmo, evitando a necessidade de operações ruidosas no console. Esta mudança estratégica aumenta a furtividade, tornando mais difícil detectar e analisar as atividades do invasor.