Grupo de piratería norcoreano, Lazarus robó 571 millones en criptomonedas
Fecha de publicación: Jan 14, 2020 10:17:57 PM
El grupo de hackers Lazarus, que supuestamente está patrocinado por el gobierno de Corea del Norte, ha desplegado nuevos virus para robar criptomonedas.
La importante firma de ciberseguridad Kaspersky informó el 8 de enero que Lazarus había duplicado sus esfuerzos para infectar las computadoras de los usuarios de Mac y Windows.
El grupo había estado utilizando una interfaz de comercio de criptomonedas de código abierto modificada llamada QtBitcoinTrader para entregar y ejecutar código malicioso en lo que se ha llamado "Operación AppleJeus", tal como Kaspersky lo informó a fines de agosto de 2018. Ahora, la empresa informa que Lazarus ha comenzado a realizar cambios al malware.
Kaspersky identificó un nuevo virus macOS y Windows llamado UnionCryptoTrader, que se basa en versiones detectadas previamente. Otro nuevo malware, dirigido a usuarios de Mac, se llama MarkMakingBot. La firma de seguridad cibernética señaló que Lazarus había estado ajustando MarkMakingBot y especula que es "una etapa intermedia en cambios significativos en su malware de macOS".
Los investigadores también encontraron máquinas con Windows que se infectaron a través de un archivo malicioso llamado WFCUpdater, pero no pudieron identificar el instalador inicial. Kaspersky dijo que la infección comenzó con el malware .NET disfrazado como un actualizador de billetera WFC y distribuido a través de un sitio web falso.
El malware infectó las PC en varias etapas antes de ejecutar los comandos del grupo e instalar permanentemente la carga explosiva.
Los atacantes pueden haber usado Telegram para propagar malware
Se descubrió que las versiones de Windows de UnionCryptoTrader se ejecutan desde la carpeta de descargas de Telegram, lo que lleva a los investigadores a creer "con gran confianza que el actor entregó el instalador manipulado utilizando el mensajero de Telegram".
Otra razón para creer que Telegram se utilizó para propagar malware es la presencia de un grupo de Telegram en el sitio web falso. La interfaz del programa presentó una interfaz gráfica que muestra el precio de Bitcoin (BTC) en varios exchanges de criptomonedas.
Captura de pantalla de la interfaz de usuario de UnionCryptoTrader. Fuente: Kaspersky
La versión de Windows de UnionCryptoTrader inicia un proceso contaminado de Internet Explorer, que luego se emplea para llevar a cabo los comandos del atacante. Kaspersky detectó instancias del malware descrito anteriormente en el Reino Unido, Polonia, Rusia y China. El informe dice:
"Creemos que es poco probable que los ataques continuos del grupo Lazarus para obtener ganancias financieras se detengan pronto. [...] Suponemos que este tipo de ataque a las empresas de criptomonedas continuará y se volverá más sofisticado".
Se sabe que Lazarus apunta a usuarios de criptomonedas durante mucho tiempo. En octubre de 2018, Cointelegraph informó que el grupo había robado la asombrosa cantidad de USD 571 millones en criptomonedas desde principios de 2017.
En marzo de 2019, los informes de Kaspersky sugirieron que los esfuerzos del grupo para apuntar a los usuarios de criptomonedas todavía estaban en curso y sus tácticas estaban evolucionando. Además, el virus de macOS del grupo también se mejoró en octubre del año pasado.
Fuente: Cointelegraph