){kind=link}
O grupo norte-coreano Lazarus foi identificado usando uma ferramenta de espionagem que opera inteiramente na memória dos computadores infectados. O problema da ferramenta é que ela pode ser usada sem gravar nada no disco e dificultando ao máximo qualquer investigação forense. A descoberta foi publicada pela Fox-IT, subsidiária do NCC Group, após um trabalho de resposta a incidentes em uma organização de finanças descentralizadas não identificada.
O malware foi batizado de RemotePE e funciona como um trojan de acesso remoto, ou “RAT”, na sigla em inglês. Esse é um tipo de programa malicioso que dá controle total sobre o computador da vítima a um atacante externo. No entanto, o que torna esse caso diferente é a forma como ele chega ao sistema.
smart_display
Nossos vídeos em destaque
A infecção começa com engenharia social, na qual os operadores do Lazarus se passam por funcionários de empresas de trading no Telegram. Eles então marcam reuniões falsas por plataformas como Calendly e Picktime e, assim, obtêm acesso inicial ao dispositivo da vítima. A partir daí, a cadeia de ataque passa por três estágios antes de ativar o RAT.
O truque da chave que só funciona em um computador
O primeiro componente é o DPAPILoader. Ele usa uma funcionalidade legítima do Windows chamada DPAPI (Data Protection API), que cifra dados ligando a chave de descriptografia à conta de usuário daquela máquina específica.
Na prática, isso significa que, mesmo que o arquivo malicioso seja capturado e enviado para plataformas de análise como o VirusTotal, ele é inútil sem as chaves da máquina da vítima. Cada implante também gera um arquivo com hash diferente para cada vítima, tornando ineficaz qualquer detecção baseada em assinatura.
Encontrado no sistema com o nome Iassvc.dll, o arquivo se faz passar por um serviço legítimo do Windows chamado Internet Authentication Service. A única diferença entre eles é uma letra a menos no nome do arquivo verdadeiro.
)
Removendo as “câmeras” do sistema antes de agir
O segundo estágio, o RemotePELoader, é responsável por contatar o servidor de comando e controle (C2) dos atacantes. Antes disso, ele toma dois cuidados para não ser detectado.
O primeiro é remover os “ganchos” instalados por produtos de segurança endpoint (EDR) na memória do sistema. Basicamente, ele apaga os sensores que esses programas usam para monitorar o comportamento dos processos.
O segundo é desativar o Rastreamento de Eventos para Windows (ETW), um mecanismo do Windows que registra eventos de atividade dos processos e alimenta muitas ferramentas de segurança com telemetria em tempo real.
)
O operador decide quando atacar
Quando o RemotePELoader se conecta ao servidor C2, ele não recebe o payload final automaticamente. Os pesquisadores simularam conexões com os servidores ativos e observaram que um operador humano aprova manualmente cada entrega.
Todos os seis envios bem-sucedidos ocorreram durante o horário comercial no fuso UTC+9, compatível com o horário padrão da Coreia. Isso indica que há pessoas monitorando as conexões do outro lado. O payload final, o RemotePE, é carregado diretamente na memória e nunca escrito no disco. Isso significa que uma imagem forense do disco não revela qualquer artefato do RAT.
Acesso total, sem evidências
O RemotePE é um RAT completo, escrito em C++, capaz de listar e matar processos, gerenciar arquivos, executar comandos, carregar plugins adicionais e deletar arquivos com sete passagens de sobrescrita. Esse é um método de apagamento seguro já observado em outros malwares atribuídos ao Lazarus.
)
Quatro amostras foram obtidas pelos pesquisadores, com timestamps entre julho de 2023 e maio de 2024, sugerindo desenvolvimento ativo ao longo de quase um ano. Nenhuma delas havia aparecido no VirusTotal antes da publicação.
Como se defender
A Fox-IT recomenda monitorar blobs cifrados com DPAPI em diretórios incomuns, como a pasta DeviceMetadataStore, e DLLs suspeitas registradas como serviços do Windows. Na rede, consultas DNS a domínios C2 conhecidos e campos específicos nos cabeçalhos HTTP podem revelar a atividade, embora o tráfego seja deliberadamente construído para se parecer com comunicações legítimas da Microsoft.
Os pesquisadores publicaram regras YARA e indicadores de comprometimento (IoCs) para apoiar a detecção em ambientes corporativos.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.