El grupo Lazarus, una organización de piratería de Corea del Norte anteriormente vinculada a actividades delictivas, se ha conectado a un nuevo esquema de ataque para violar sistemas y robar criptomonedas de terceros. La campaña, que utiliza una versión modificada de un producto de malware ya existente llamado Applejeus, utiliza un sitio criptográfico e incluso documentos para obtener acceso a los sistemas.
El malware Lazarus modificado usó un sitio criptográfico como fachada
Volexity, una firma de seguridad cibernética con sede en Washington DC, vinculó a Lazarus, un grupo de piratería de Corea del Norte ya sancionado por el gobierno de EE. UU., con una amenaza que implica el uso de un sitio criptográfico para infectar sistemas con el fin de robar información y criptomonedas de terceros.
una entrada de blog emitido el 1 de diciembre reveló que en junio, Lazarus registró un dominio llamado “bloxholder.com”, que luego se establecería como una empresa que ofrece servicios de comercio automático de criptomonedas. Usando este sitio como fachada, Lazarus instó a los usuarios a descargar una aplicación que sirvió como una carga útil para entregar el malware Applejeus, dirigido a robar claves privadas y otros datos de los sistemas de los usuarios.
La misma estrategia ha sido utilizada por Lazarus antes. Sin embargo, este nuevo esquema utiliza una técnica que permite que la aplicación “confunda y ralentice” las tareas de detección de malware.
Macros de documentos
Volexity también descubrió que la técnica para entregar este malware a los usuarios finales cambió en octubre. El método se transformó para usar documentos de Office, específicamente una hoja de cálculo que contenía macros, una especie de programa incrustado en los documentos diseñado para instalar el malware Applejeus en la computadora.
El documento, identificado con el nombre “OKX Binance & Huobi VIP fee comparision.xls”, muestra los beneficios que supuestamente ofrece cada uno de los programas VIP de estos intercambios en sus diferentes niveles. Para mitigar este tipo de ataque, se recomienda bloquear la ejecución de macros en documentos y también examinar y monitorear la creación de nuevas tareas en el sistema operativo para estar al tanto de nuevas tareas no identificadas que se ejecutan en segundo plano. Sin embargo, Veloxity no informó sobre el nivel de alcance que ha alcanzado esta campaña.
Lazarus fue acusado formalmente por el Departamento de Justicia de EE. UU. (DOJ) en febrero de 2021, involucrando a un operativo del grupo vinculado a una organización de inteligencia de Corea del Norte, la Oficina General de Reconocimiento (RGB). Antes de eso, en marzo de 2020, el Departamento de Justicia acusó a dos ciudadanos chinos por ayudar en el lavado de más de $100 millones en criptomonedas vinculadas a las hazañas de Lazarus.
¿Qué opinas de la última campaña de malware de criptomonedas de Lazarus? Cuéntanos en la sección de comentarios a continuación.
Créditos de imagen: Shutterstock, Pixabay, Wiki Commons
Descargo de responsabilidad: Este artículo es solo para fines informativos. No es una oferta directa ni una solicitud de una oferta de compra o venta, ni una recomendación o respaldo de ningún producto, servicio o empresa. Bitcoin.com no proporciona asesoramiento de inversión, fiscal, legal o contable. Ni la empresa ni el autor son responsables, directa o indirectamente, de ningún daño o pérdida causados o presuntamente causados por o en relación con el uso o la confianza en cualquier contenido, bienes o servicios mencionados en este artículo.
