El grupo Lazarus sigue invirtiendo en ataques relacionados con criptomonedas
- Endpoint
Está detrás de la operación AppleJeus, que se ha reactivado con novedades. Esta vez, Lazarus ha creado sitios web falsos relacionados con criptomonedas, que alojaban enlaces a canales de Telegram de organizaciones falsas y entregaban malware. Hay víctimas en Reino Unido, Rusia, Polonia y China.
En 2018, el Equipo de Investigación y Análisis Global de Kaspersky (GReAT) publicó hallazgos sobre AppleJeus, una operación destinada a robar criptomonedas realizada por el grupo de amenazas Lazarus. Ahora, nuevos hallazgos muestran que la operación continúa con tácticas y procedimientos mejorados y el uso de Telegram como uno de sus nuevos vectores de ataque. Víctimas en el Reino Unido, Polonia, Rusia y China, incluidas varias entidades conectadas a criptomonedas, se vieron afectadas durante la operación.
|
Recomendados: Informe IT Trends: 2020, el año de la consolidación digital Leer Ciberseguridad en 2020, ¿qué podemos esperar? Registro. Tendencias TI 2020, visionando el futuro. Webinar ondemand. |
El grupo Lazarus es uno de los actores de amenazas persistentes avanzadas (APT) más activos y prolíficos, que llevó a cabo una serie de campañas dirigidas a organizaciones relacionadas con criptomonedas. Durante la operación inicial de AppleJeus, Lazarus creó una compañía de criptomonedas falsa para entregar una aplicación manipulada y explotar la confianza de posibles víctimas. Una vez descargado el malware para macOS, la carga útil permitió al atacante obtener el control total del dispositivo del usuario y robar criptomonedas.
Los investigadores de Kaspersky han identificado cambios significativos en las tácticas de ataque del grupo en la secuela de AppleJeus. El vector de ataque es similar, pero con algunas mejoras. Esta vez, Lazarus creó sitios web falsos relacionados con criptomonedas, que alojaban enlaces a canales de Telegram de organizaciones falsas y entregaban malware a través de la app de mensajería. Lazarus también ha realizado modificaciones significativas en el malware macOS y ha ampliado el número de versiones. A diferencia del ataque anterior, durante el cual Lazarus usó QtBitcoinTrader de código abierto para construir un instalador de macOS diseñado, en la secuela de AppleJeus el actor de amenazas comenzó a usar su código casero para construir un instalador malicioso.
"La secuela de la operación AppleJeus demuestra que, a pesar del estancamiento significativo en los mercados de criptomonedas, Lazarus continúa invirtiendo en ataques relacionados con criptomonedas, haciéndolos más sofisticados. Los cambios y la diversificación de su malware demuestran que no hay razón para creer que estos ataques no crecerán en número y se convertirán en una amenaza más grave", comenta Seongsu Park, investigador de seguridad de Kaspersky.
