Malware – O grupo norte-coreano Lazarus foi identificado utilizando uma ferramenta de espionagem capaz de operar inteiramente na memória de computadores infectados. A técnica impede que arquivos sejam gravados no disco rígido e dificulta significativamente qualquer investigação forense. A descoberta foi divulgada pela Fox-IT, subsidiária do NCC Group, após atuar na resposta a incidentes envolvendo uma organização de finanças descentralizadas não identificada.
O malware recebeu o nome de RemotePE e funciona como um trojan de acesso remoto, conhecido pela sigla RAT. Esse tipo de ameaça permite que criminosos tenham controle total sobre o computador da vítima. O diferencial do caso, porém, está na forma como a infecção acontece e na capacidade do programa de permanecer praticamente invisível.
LEIA: Brasil tem crescimento de 7,7% nas exportações de alta tecnologia
Segundo os pesquisadores, o ataque começa com técnicas de engenharia social. Operadores ligados ao Lazarus se passam por funcionários de empresas de trading no Telegram e marcam falsas reuniões por plataformas como Calendly e Picktime. A partir desse contato inicial, os criminosos conseguem acesso ao dispositivo da vítima e iniciam uma cadeia de infecção em três etapas até a ativação do RAT.
Chave única dificulta análises
O primeiro estágio do ataque utiliza um componente chamado DPAPILoader. Ele explora um recurso legítimo do Windows, o DPAPI (Data Protection API), responsável por criptografar dados utilizando chaves vinculadas à conta de usuário da máquina infectada.
Na prática, isso significa que, mesmo que o arquivo malicioso seja capturado e enviado para plataformas de análise, como o VirusTotal, ele não pode ser descriptografado sem as chaves específicas daquele computador. Além disso, cada implante gera um hash diferente para cada vítima, tornando ineficazes métodos tradicionais de detecção baseados em assinatura.
Os pesquisadores identificaram o componente com o nome Iassvc.dll, disfarçado como um serviço legítimo do Windows chamado Internet Authentication Service. A diferença entre os arquivos está em apenas uma letra.
Malware desativa mecanismos de segurança
Na segunda fase, entra em ação o RemotePELoader, responsável pela comunicação com o servidor de comando e controle (C2) dos atacantes. Antes disso, o malware toma medidas para evitar a detecção.
Uma delas é remover os “ganchos” instalados por ferramentas de segurança endpoint (EDR) na memória do sistema, desativando os sensores usados para monitorar o comportamento dos processos. Outra técnica envolve desligar o Rastreamento de Eventos para Windows (ETW), mecanismo responsável por registrar atividades dos processos e fornecer telemetria em tempo real para soluções de segurança.
Ataques dependem de aprovação humana
Os pesquisadores observaram que o payload final não é enviado automaticamente após a conexão com o servidor C2. Durante a análise, conexões com servidores ativos mostraram que um operador humano aprova manualmente cada entrega do malware.
Os seis envios bem-sucedidos registrados aconteceram durante o horário comercial do fuso UTC+9, compatível com o horário padrão da Coreia. Para os especialistas, isso indica que há operadores monitorando as conexões em tempo real.
O payload final, chamado RemotePE, é carregado diretamente na memória e nunca gravado no disco. Dessa forma, uma análise forense tradicional do armazenamento do computador não revela vestígios do RAT.
Controle total e apagamento seguro
Escrito em C++, o RemotePE é capaz de listar e encerrar processos, gerenciar arquivos, executar comandos e carregar plugins adicionais. O malware também consegue apagar arquivos utilizando sete passagens de sobrescrita, técnica considerada segura e já associada anteriormente a operações do Lazarus.
A Fox-IT obteve quatro amostras do malware com registros entre julho de 2023 e maio de 2024, o que sugere desenvolvimento ativo durante quase um ano. Nenhuma das amostras havia sido identificada anteriormente no VirusTotal.
Recomendações de defesa
Como medidas de proteção, a Fox-IT recomenda monitorar blobs criptografados com DPAPI em diretórios incomuns, como a pasta DeviceMetadataStore, além de DLLs suspeitas registradas como serviços do Windows.
Os pesquisadores também alertam para consultas DNS destinadas a domínios de comando e controle conhecidos e para padrões específicos em cabeçalhos HTTP. Apesar disso, o tráfego gerado pelo malware foi desenvolvido para se parecer com comunicações legítimas da Microsoft, dificultando ainda mais a detecção.
Junte cashback e transfira para sua conta com a Benefícios Rede Bee!
A Bee Fenati – a rede social dos profissionais de TI de todo o Brasil – segue em expansão para garantir aos seus usuários cada vez mais benefícios. Agora a plataforma conta com a Benefícios Rede Bee, que reúne descontos em dezenas de grandes marcas, com muitas delas oferecendo cashback, ou seja, o retorno de um valor da sua compra que poderá ser transferido direto para sua conta! (Saiba mais aqui)
Baixe o aplicativo nas lojas App Store e Google Store e aproveite agora! A Bee Fenati reúne em um único ambiente ofertas em áreas como educação, compras, viagens, lazer, serviços, tecnologia e muito mais. Dentre as marcas parceiras estão Magalu, Renner, Drogasil, C&A, Dell, Casas Bahia, Vivo, Petz, Drogaria São Paulo, e muito mais!
Além de poderem aproveitar os descontos oferecidos pelas marcas parceiras, os usuários da plataforma receberão de volta um percentual a cada compra que realizarem em parceiros que oferecem o cashback.
Este valor ficará em uma carteira digital dentro da plataforma da Benefícios Rede Bee e, a partir de R$ 20 reais acumulados em cashback, o trabalhador pode transferir o dinheiro direto para sua conta bancária!
Na prática, a ferramenta permitirá que sócios e contribuintes dos sindicatos filiados à Fenati (Federação Nacional dos Trabalhadores em Tecnologia da Informação) possam ZERAR o valor da sua contribuição assistencial e associativa!
Atualmente, o valor da contribuição é de R$ 32,50 por mês para sócios e R$ 35 por mês para contribuintes, ou seja, é possível recuperar todo esse valor e ainda acumular muito mais – tudo isso contribuindo para fortalecer a categoria e transformando as compras e serviços do cotidiano em ganho real.
(Com informações de Tecmundo)
(Foto: Reprodução/Magnific/DC Studio)
