- Grupo de hackers norcoreanos crean sitios web falsos de criptomonedas en esquema para robar Bitcoin.
- Los hackers usan grupos de Telegram para infectar dispositivos macOS y Windows con malware.
El grupo de hackers Lazarus asociado con el gobierno de Corea del Norte ha desarrollado un nuevo modus operandi para robar Bitcoin. La firma de seguridad Kaspersky publicó un informe que detalle las operaciones del grupo. De acuerdo con su investigación, el grupo ha atacado a individuos en Rusia, China, Reino Unido, Polonia y a entidades financieras en todo el mundo.
Kaspersky Labs determinó que la operación para robar criptomonedas conocida como «Operation AppleJeus Sequel» está activa desde el 2018. El grupo usa varios métodos para atraer víctimas e infectar sus equipos con malware que modifica la estructura del software de los equipos afectados. Además, los hackers usan canales de Telegram como un medio para propagar el malware malicioso.
Modus Operandi del grupo Lazarus: robo de Bitcoin sin detección
La «Operation AppleJeus Sequel» es una continuación de una operación previa lanzada por el grupo Lazarus en el 2018. En ese momento, Kaspersky determinó que los hackers encontraron un método para poder infectar equipos macOS. El grupo se aprovechaba de la confianza que tienen los usuarios en sus equipos y en el sistema operativo. Desde entonces, el grupo ha desarrollado un nuevo método de ataque que consiste en crear toda una infraestructura falsa dentro del esquema de robo de Bitcoin.
El ataque ocurre en múltiples etapas. Contempla la creación de páginas web, compañías y plataformas falsas y el desarrollo de malware casero especifico para atacar a usuarios de macOS y Windows. La primera etapa del ataque comienza en los sitios webs y plataformas falsas referidas. Kaspersky Labs logró encontrar algunos de estos sitios web todavía activos como cyptian y unioncrypto.
La infraestructura es el medio inicial que expone los equipos de los usuarios al malware. El reporte establece que los hackers acompañan estos medios falsos con canales de Telegram que agregan una segunda etapa a su modus operandi. Telegram es uno de los medios más populares de comunicación en la criptocomunidad. Los atacantes se aprovechan de esto para insertar aplicaciones «deliberadamente manipuladas». La firma de seguridad logró encontrar un canal activo usado por los atacantes. El canal de Telegram fue creado en diciembre del 2018. Esto da una idea de lo antigua que es la operación y del tiempo que han tenido los hackers para perfeccionar su modus operandi.
Luego, los usuarios son atacados dependiendo de su sistema operativo y su dispositivo. Para los usuarios de macOS se logró determinar que los atacantes usan malware fabricado especificamente para estos equipos. Lazarus insertó un mecanismo de autentificación en el malware que afecta el sistema sin tocar el disco. Kaspersky menciona el ejemplo de una aplicación falsa llamada JMTTrading que usa una función simple de puerta trasera en su ejecución.
Los usuarios de Windows son afectados mediante un mecanismo de descifrado que se puede camuflar como un actualizador para una billetera especifica. Afortunadamente, la investigación logró determinar el nombre del programa falso: WFC wallet updater. En la imagen de abajo Kaspersky muestra el flujo de ejecución del malware creado por el grupo Lazarus.
Los ataques para robar Bitcoin serán más sofisticados
Aunque la investigación de la firma de seguridad logró determinar el modus operandi actual del grupo Lazarus sus conclusiones son pesimistas. Kaspersky afirma que el cambio del modus operandi de los atacantes continuará y que se hará más sofisticado con el tiempo.
El ecosistema de las criptomonedas está familiarizado con los ataques de esta naturaleza. CNF ha reportado sobre dos ataques importantes que han ocurrido en la criptoindustria. El primero fue realizado al intercambio de criptomonedas Mt. Gox y sus víctimas siguen esperando retribución por su inversión pérdida. Y otro más reciente realizado con la cartera PlusToken que resultó ser un esquema Ponzi que lograría sustraer más de 3000 mil millones de dólares en Bitcoin y Ethereum.
Sin embargo, el desarrollo de nuevo malware y métodos de ataque obligan a los usuarios de criptomonedas a estar cada vez más atentos a esta clase de ataques. En el futuro podría ser dificil determinar si un sitio web es autentico a simple vista o si es parte de una trama de robo mucho más grande.
¡Síguenos en Facebook y Twitter y no te pierdas ninguna noticia! ¿le gusta nuestro índice de precios?
