Malware LightlessCan

Los ciberdelincuentes han ejecutado un ataque de espionaje contra una empresa aeroespacial no revelada en España. En este incidente, los actores de amenazas asumieron la apariencia de un reclutador afiliado a Meta (anteriormente Facebook) para atacar a los empleados de la empresa. El reclutador fraudulento se puso en contacto con estos empleados a través de LinkedIn y posteriormente los engañó para que descargaran y abrieran un archivo ejecutable amenazante. El archivo engañoso se presentó como un desafío o prueba de codificación. Posteriormente, los sistemas comprometidos fueron infectados con una amenaza de puerta trasera previamente desconocida identificada como LightlessCan.

Este ciberataque es parte de una campaña de phishing bien establecida conocida como "Operación Dream Job". Está orquestado por el Grupo Lazarus , un actor APT (Advanced Persistent Threat) vinculado a Corea del Norte. El objetivo principal de Operation Dream Job es atraer empleados que trabajan en organizaciones de interés estratégico. Los atacantes utilizan la promesa de atractivas oportunidades laborales como cebo para iniciar la cadena de infección, con el objetivo final de comprometer los sistemas y datos de sus objetivos.

Una cadena de ataques de varias etapas genera el malware LightlessCan

La cadena de ataque comienza cuando el individuo objetivo recibe un mensaje a través de LinkedIn de un reclutador fraudulento que dice representar a Meta Platforms. Luego, este reclutador falso procede a enviar dos desafíos de codificación, aparentemente como parte del proceso de reclutamiento. Convencieron con éxito a la víctima para que ejecutara estos archivos de prueba, que están alojados en una plataforma de almacenamiento en la nube de terceros y se denominan Quiz1.iso y Quiz2.iso.

Como han identificado los expertos en ciberseguridad, estos archivos ISO contienen archivos binarios maliciosos conocidos como Quiz1.exe y Quiz2.exe. Se espera que las víctimas descarguen y ejecuten los archivos en un dispositivo proporcionado por la empresa objetivo. Hacerlo hará que el sistema se vea comprometido, lo que provocará una violación de la red corporativa.

Esta infracción abre la puerta a la implementación de un descargador HTTP(S) conocido como NickelLoader. Con esta herramienta, los atacantes obtienen la capacidad de inyectar cualquier programa deseado directamente en la memoria de la computadora de la víctima. Entre los programas implementados se encontraba el troyano de acceso remoto LightlessCan y una variante de BLINDINGCAN , conocida como miniBlindingCan (también conocida como AIRDRY.V2). Estas herramientas amenazantes podrían otorgar a los atacantes acceso remoto y control sobre el sistema comprometido.

LightlessCan representa una evolución del poderoso arsenal de Lazarus

El aspecto más preocupante del ataque gira en torno a la introducción de una nueva carga útil llamada LightlessCan. Esta sofisticada herramienta muestra un avance significativo en capacidades dañinas en comparación con su predecesor, BLINDINGCAN (también conocido como AIDRY o ZetaNile). BLINDINGCAN ya era un malware rico en funciones capaz de extraer información confidencial de hosts comprometidos.

LightlessCan está equipado con soporte para hasta 68 comandos distintos, aunque su versión actual incorpora sólo 43 de estos comandos con al menos alguna funcionalidad. En cuanto a miniBlindingCan, se encarga principalmente de tareas como transmitir información del sistema y descargar archivos recuperados de un servidor remoto.

Una característica destacable de esta campaña es la implementación de barreras de ejecución. Estas medidas evitan que las cargas útiles se descifren y ejecuten en cualquier máquina que no sea la de la víctima prevista.

LightlessCan está diseñado para funcionar de forma que emule las funcionalidades de numerosos comandos nativos de Windows. Esto permite que RAT realice una ejecución discreta dentro de sí mismo, evitando la necesidad de operaciones ruidosas en la consola. Este cambio estratégico mejora el sigilo, lo que hace que sea más difícil detectar y analizar las actividades del atacante.