"Você pega o malware que outra pessoa criou, analisa e depois o reconfigura para poder reimplantá-lo", diz Wardle. "Por que você desenvolveria algo novo quando agências de três letras e outros grupos estão criando malwares incríveis, com todos os recursos, testes e muitas vezes já foram testados na natureza?"
Pesquisadores viram o Lazarus Group usando iterações iniciais do carregador em 2016 e 2018, e a ferramenta continuou a evoluir e amadurecer. Depois que o Lazarus engana a vítima para instalar o carregador - normalmente por meio de phishing ou outro golpe -, ele é direcionado ao servidor do invasor. O servidor responde enviando software criptografado para o carregador descriptografar e executar.
O carregador Wardle examinado é especialmente atraente, porque foi projetado para executar qualquer "carga útil" ou malware que recebe diretamente na memória de acesso aleatório do computador, em vez de instalá-lo no disco rígido. Conhecido como um ataque de malware sem arquivo, isso torna muito mais difícil detectar uma invasão ou investigar um incidente posteriormente, porque o malware não deixa registros de que alguma vez foi instalado no sistema. Wardle ressalta que o carregador, uma ferramenta de ataque de "primeiro estágio", é independente da carga útil, o que significa que você pode usá-lo para executar qualquer tipo de ataque de "segundo estágio" que desejar no sistema de um alvo. Mas Lázaro não apresentou todos esses truques impressionantes.
"Todo o código que implementa o carregador na memória foi retirado de um post do blog Cylance e do projeto GitHub, onde eles lançaram algum código-fonte aberto como parte da pesquisa", diz Wardle. A Cylance é uma empresa de antivírus que também realiza pesquisas de ameaças. "Quando eu estava analisando o carregador do Lazarus Group, encontrei basicamente uma correspondência exata. É interessante que os programadores do Lazarus Group tenham pesquisado no Google isso ou tenham visto a apresentação sobre ele na conferência Infiltrate em 2017 ou algo assim."
Essa reutilização ilustra os benefícios para os invasores de reciclar ferramentas sofisticadas de malware - sejam provenientes de agências de inteligência ou de pesquisa de código aberto. A ferramenta de hackers roubada do Windows EternalBlue, desenvolvida pela NSA e depois roubada e vazada em 2017, foi infamevelmente usada por praticamente todos os grupos de hackers existentes, desde a China e a Rússia até organizações criminosas. Mas, embora a reciclagem seja uma prática amplamente conhecida por hackers, Wardle ressalta que apenas conhecer abstratamente não é suficiente. Ele argumenta que os profissionais de segurança precisam se concentrar significativamente na mecânica do processo para que possam superar as deficiências das proteções existentes e dos métodos de detecção de malware.
Adote defesas baseadas em assinaturas, que funcionam essencialmente com a impressão digital de programas maliciosos e adicionando esse identificador a uma lista negra. As ferramentas regulares de verificação de antivírus e malware que dependem de assinaturas geralmente falham em sinalizar malware reutilizado, porque mesmo os pequenos ajustes que um novo invasor faz para alterar a "assinatura" do programa.
