Le groupe de pirates informatiques nord-coréen, connu sous le nom de Lazarus Group, a récemment été repéré en train d’utiliser un type de logiciel malveillant particulièrement sophistiqué, appelé LightlessCan, pour mener leurs fausses offres d’emploi. Cette technique est destinée à tromper les victimes avec des propositions d’embauche au sein d’entreprises renommées. De plus, elle est maintenant dotée d’un arsenal technologique bien plus difficile à détecter que son prédécesseur, BlindingCan.
La découverte de LightlessCan par les chercheurs d’ESET
Les chercheurs d’ESET, une entreprise spécialisée en cybersécurité, ont découvert ce nouveau logiciel malveillant encore non documenté. C’était à l’occasion de l’analyse d’une attaque récente perpétrée contre une entreprise espagnole spécialisée dans l’aérospatiale. Ainsi, le modus operandi du groupe Lazarus s’appuie sur des campagnes d’hameçonnage ciblées et des messages personnalisés. Ceux-ci sont envoyés sur des plateformes comme LinkedIn, pour donner l’impression que les communications sont émises par des recruteurs légitimes.
Un exemple concret d’une arnaque en 2022
Un cas marquant de l’année 2022 implique un employé d’une entreprise espagnole de l’aérospatiale ayant reçu un message d’un faux recruteur du nom de Steve Dawson, sur LinkedIn. L’échange entre les deux utilisateurs a conduit à une navigation vers un site Web contrefait. Celui-ci propose au prétendu candidat de passer des tests d’embauche et de télécharger des documents malveillants contenant le logiciel LightlessCan.
Les caractéristiques innovantes de LightlessCan
En plus d’être difficile à repérer, LightlessCan présente des avancées significatives par rapport aux précédentes générations de logiciels malveillants utilisés par le groupe Lazarus. D’une part, il est capable de mimer les commandes natives de Windows. Ainsi, il peut exécuter discrètement ses actions au sein du malware lui-même plutôt que via des exécutions du console.
Une approche furtive pour échapper aux outils de surveillance
Cette méthode furtive échappe aux solutions de surveillance en temps réel et aux outils d’analyse judiciaire informatique. Ainsi, pour renforcer sa discrétion, le payload du logiciel LightlessCan s’appuie également sur des « gardes-fous d’exécution ». Celles-ci garantissent ainsi que le déchiffrement ne se produit que sur la machine de la victime prévue. Cela empêche par la même occasion tout déchiffrement involontaire de la part des chercheurs en sécurité.
- Mimétisme des commandes natives de Windows
- Exécution discrète au sein du malware
- Évasion de la surveillance et des outils forensiques en temps réel
- Cryptage sécurisé pour éviter les déchiffrements par des tiers
Les conséquences de ces attaques et les mesures internationales prises en réponse
La communauté internationale est particulièrement préoccupée par les agissements du groupe Lazarus, car il subsiste des soupçons. En effet, il est possible que les fonds détournés à l’aide de LightlessCan contribuent au financement du programme nord-coréen de missiles nucléaires. Ainsi, face à cette menace, les Nations Unies ont entamé une collaboration transnationale pour contrer les tactiques de cybercriminalité employées par la Corée du Nord.
Comment se protéger face à ces menaces ?
Pour assurer leur sécurité, les entreprises et organisations doivent impérativement sensibiliser leurs employés aux risques liés aux fausses offres d’emploi et à la manipulation sur les réseaux sociaux. Appliquer les bonnes pratiques en matière de cybersécurité, telles que maintenir les systèmes à jour et utiliser des logiciels antivirus fiables, permet également de limiter les risques associés à ce type de menaces.