Las amenazas de seguridad utilizan la suplantación de identidad como una forma de hacer bajar protección de sus posibles víctimas. Un ejemplo de esto ha sido cómo una empresa aeroespacial española ha sido hackeada y todo comenzó con un mensaje de LinkedIn de un supuesto reclutador haciéndose pasar por un empleado de Meta.
Corea hackea una empresa aeroespacial española
El grupo de hackers norcoreano Lazarus apuntó a empleados de una empresa aeroespacial ubicada en España. El grupo se dirigió a varios empleados de la empresa a través de mensajes de LinkedIn, la red social de referencia para encontrar empleo. Haciéndose pasar por un reclutador de Meta, el atacante utilizó una oferta de trabajo como señuelo para atraer la atención y la confianza del objetivo, un trabajador de la compañía aeroespacial española afectada.
Su objetivo era hackear la red corporativa utilizando una puerta trasera hasta ahora desconocida llamada LightlessCan. Durante el supuesto proceso de selección, la víctima deba descargar unos archivos.
El empleado engañado cometió la imprudencia de descargar el archivo en un ordenador de la empresa para la que trabaja, facilitando así la puerta trasera al grupo de hackers norcoreanos. Según cuentan desde ESET, quienes descubrieron esta infiltración, se le pidió a la víctima que demostrara su dominio de la programación en C++ descargando algunos cuestionarios que se compartieron como ejecutables dentro de archivos ISO. Una vez que se iniciaron esos ejecutables, una carga útil adicional de las imágenes ISO se colocó silenciosamente en la máquina de la víctima a través de la carga lateral de DLL (mscoree.dll) usando un programa legítimo (PresentationHost.exe).
Los dos ejecutables maliciosos, Quiz1.exe y Quiz2.exe, que se entregaron a través de las imágenes Quiz1.iso y Quiz2.iso alojadas en una plataforma de almacenamiento en la nube de terceros y que tras su ejecución liberan la carga útil. Esa carga útil es el cargador de malware NickelLoader, que implementa dos puertas traseras, una variante de BlindingCan con funcionalidad atenuada (miniBlindingCan) y LightlessCan.
Acceso a la red corporativa
La primera carga útil entregada al sistema del objetivo es un descargador HTTP(S) al que se denominó NickelLoader. La herramienta permite a los atacantes implementar cualquier programa deseado en la memoria del ordenador de la víctima.
Una vez que NickelLoader se ejecuta en el sistema del objetivo, los atacantes lo utilizan para entregar dos tipos de troyanos de acceso remoto (o RAT, del inglés Remote Access Trojan). Ya se sabe que uno de estos RAT forma parte del conjunto de herramientas de Lazarus, específicamente una variante de la puerta trasera BlindingCan. Además, los atacantes introdujeron públicamente un RAT que no había sido documentada previamente, al que llamaron LightlessCan.
ESET dice que LightlessCan es un sucesor de BlindingCan, basado en el código fuente y las similitudes en el orden de los comandos, que presenta una estructura de código más sofisticada, una indexación diferente y una funcionalidad mejorada.
La versión muestreada del ataque a la organización aeroespacial española es la 1.0, que admite 43 comandos. Sin embargo, ESET dice que hay otros 25 comandos en el código que aún no se han implementado. El malware replica muchos comandos nativos de Windows como ping, ipconfig, netstant, mkdir, schstasks, systeminfo, etc., por lo que puede ejecutarlos sin aparecer en la consola del sistema para un mejor sigilo frente a las herramientas de monitorización en tiempo real.
