Lazarus utiliza novo malware CookiePlus para atacar organizações nucleares

A operação “DreamJob”, associada ao grupo Lazarus, continua a expandir-se com novas táticas e ferramentas avançadas, consolidando-se como uma das campanhas de ciberespionagem mais sofisticadas da atualidade, de acordo com a Kaspersky.

Desta vez, os alvos incluem organizações relacionadas com o setor nuclear e profissionais de IT, que foram comprometidos através de ficheiros maliciosos disfarçados de avaliações de competências. Entre as ferramentas utilizadas está uma backdoor modular recém-identificada, conhecida como CookiePlus, que se mascara como um plugin legítimo.

Os ataques mais recentes ocorreram durante 2024, tendo como foco colaboradores de uma organização nuclear no Brasil e alvos adicionais no Vietname. Segundo especialistas, o Lazarus utilizou plataformas de procura de emprego para estabelecer o contacto inicial com as vítimas, entregando ficheiros maliciosos disfarçados de propostas legítimas de emprego em empresas de renome nos setores aeroespacial e da defesa. Uma vez comprometido, o sistema das vítimas tornou-se um vetor para a recolha de informações sensíveis.

A cadeia de infeção orquestrada pelo Lazarus é notável pela sua complexidade, uma vez que a campanha recorreu a software adulterado com malware, incluindo ferramentas de controlo remoto como o VNC, para distribuir malware em várias etapas. Cada componente da cadeia, desde os downloaders até à backdoor CookiePlus, foi concebida para garantir uma elevada persistência e dificultar a deteção, o que demonstra o nível de sofisticação técnica do grupo.

Uma das inovações mais preocupantes da campanha foi o uso do CookiePlus, uma backdoor capaz de recolher detalhes sobre o sistema, como nomes de computadores, ID de processos e percursos de ficheiros. A funcionalidade avançada do malware inclui ainda a capacidade de manipular processos do sistema, o que não só evita a deteção como pode prolongar a presença no sistema e potenciar danos adicionais.