El Grupo Lázaro vuelve a atacar con LinkedIn como cebo

Bitdefender ha revelado los detalles de una investigación sobre la última campaña, todavía activa, del Grupo Lázaro que les vino caída del cielo. O, más literalmente, de la nube, porque uno de los investigadores de la compañía recibió una oferta de trabajo falsa a través de Linkedin. Era el gancho de partida: una estafa en la que se le proponía colaborar en un intercambio de criptomonedas descentralizado.

Si picas el cebo, los atacantes te piden el currículo o el enlace de tu repositorio personal de GitHub, con objeto de recopilar información. Después comparten su propio repositorio, en el que está el producto mínimo viable (MVP) del proyecto de criptomonedas, junto a un enlace que te lleva a una demostración. Al hacer clic en ese enlace, se ejecuta el código malicioso.

El código viene muy bien equipado: una puerta trasera, capaz de recopilar las contraseñas del navegador, las sesiones, las llaves del wallet de criptomonedas o los detalles de la cuenta de discord; un ladrón de información, que escanea y exfiltra ficheros según determinadas reglas; un keylogger, que utiliza APIs de win32 para capturar, almacenar y exfiltrar la pulsación de teclas; y un minero de criptomonedas que se puede accionar siguiendo ciertas métricas, como las cargas de la CPU o la cantidad de RAM.

Bitdefender vincula la campaña con el Grupo Lázaro, conocido también por su código de amenaza persistente avanzada, APT38, y con lazos con Corea del Norte.Al parecer, sus objetivos van más allá de la captura de datos personales. “Al comprometer a trabajadores de sectores como la aviación, la defensa o la industria nuclear, buscan exfiltrar información clasificada, tecnologías propietarias y credenciales corporativas”.