Detectada una nueva campaña APT activa contra el sector de las criptomonedas
- Endpoint
Bautizada como "NaiveCopy", tenía como objetivo a los inversores en acciones y criptomonedas. Los ciberdelincuentes utilizaron contenidos relacionados con las criptomonedas y denuncias de las fuerzas de seguridad como ganchos para atraer a sus víctimas.
Los actores de amenazas persistentes avanzadas (APT) cambian continuamente sus tácticas, perfeccionan sus herramientas y desarrollan nuevas técnicas. Pues bien, en el segundo trimestre de 2022, los analistas de Kaspersky observaron que estos se dirigían cada vez más al sector de las criptomonedas. Concretamente, vieron como utilizando contenidos relacionados con las criptomonedas y advertencias de las fuerzas de seguridad como cebo, el actor detrás de una campaña nueva y muy activa, llamada "NaiveCopy", atacó a inversores en acciones y criptomonedas en Corea del Sur.
Las cadenas de infección incluían la inyección remota de plantillas, generando una macro maliciosa que iniciaba un procedimiento de infección en varias fases utilizando Dropbox. Después de enviar la información del host de la víctima, el malware intenta obtener la carga útil de la etapa final. Afortunadamente, los expertos de Kaspersky pudieron adquirir el payload de la etapa final, que consiste en varios módulos utilizados para exfiltrar información sensible de la víctima. Al analizar esta carga útil, los analistas de Kaspersky encontraron muestras adicionales que habían sido utilizadas hace un año durante otra campaña contra entidades de México y Reino Unido.
No se ha encontrado ninguna conexión precisa con actores de amenazas conocidos, sin embargo, se cree que están familiarizados con el idioma coreano y que han utilizado una táctica similar empleada anteriormente por el grupo Konni para robar las credenciales de inicio de sesión de un reconocido portal de Corea. El grupo Konni es un actor de amenazas que ha estado activo desde mediados de 2021, dirigiéndose principalmente a entidades diplomáticas rusas.
“En el transcurso de varios trimestres, hemos visto a los actores de APT dirigir su atención hacia la industria de las criptomonedas. Utilizando diversas técnicas, los ciberdelincuentes no solo buscan información, sino también dinero. Esta es una tendencia inusual, pero creciente, en el panorama de las APT. Para combatir las amenazas, la inteligencia frente a amenazas es un componente esencial que permite anticiparse de forma fiable a este tipo de ataques", explica David Emm, investigador principal de seguridad de GReAT de Kaspersky.