El grupo de pirateo de Corea del Norte se ha vuelto codicioso.

Los investigadores de seguridad han descubierto una nueva campaña de malware generalizada dirigida a usuarios de criptomonedas, que se cree que se originó en Lazarus Group, un grupo de piratería patrocinado por el estado y vinculado al gobierno de Corea del Norte.

Activo desde 2009, Lazarus Group ha sido atribuido a muchos ataques de alto perfil, incluyendo Sony Pictures Hack , $ 81 millones de robados al Banco de Bangladesh  y el último – WannaCry .

Estados Unidos culpó oficialmente a Corea del Norte por el ataque global ransomware WannaCry que infectó cientos de miles de computadoras en más de 150 países a principios de este año.

En noticias separadas, los expertos en seguridad han culpado al grupo Lazarus por robar bitcoins por valor de millones del intercambio surcoreano Youbit , forzándolo a cerrar y declararse en bancarrota luego de perder el 17% de sus activos.

Investigadores de la firma de seguridad Proofpoint han publicado un nuevo informe, que revela una conexión entre Lazarus Group y una serie de ciberataques de múltiples etapas contra usuarios de criptomonedas y sistemas de punto de venta.

“El grupo se ha centrado cada vez más en ataques con motivación financiera y parece estar aprovechando tanto el interés creciente como los precios disparados de las criptomonedas”, dijeron los investigadores. “El arsenal de herramientas, implantes y exploits del Grupo Lazarus es extenso y está en constante desarrollo”.

Después de analizar una gran cantidad de correos electrónicos de spear phishing con diferentes vectores de ataque de múltiples campañas de spear phishing, los investigadores descubrieron un nuevo implante de reconocimiento basado en PowerShell del arsenal de Lazarus Group, denominado PowerRatankba.

El cifrado, la ofuscación, la funcionalidad, los señuelos y los servidores de comando y control utilizados por PowerRatankba se asemejan mucho al implante Ratankba original desarrollado por Lazarus Group.

El implante PowerRatankba se está diseminando mediante una campaña masiva de correo electrónico a través de los siguientes vectores de ataque:

Descargador ejecutable de Windows apodado PowerSpritz

  • Archivos maliciosos de acceso directo de Windows (LNK)
  • Varios archivos maliciosos de Ayuda compilada en HTML (CHM) de Microsoft
  • Múltiples descargadores de JavaScript (JS)
  • Documentos macro de Microsoft Office
  • Aplicaciones populares de criptomonedas respaldadas alojadas en sitios web falsos

PowerRatankba, con al menos dos variantes en la naturaleza, actúa como un malware de primera etapa que ofrece una puerta trasera con todas las funciones (en este caso, Gh0st RAT) solo para aquellas empresas, organizaciones e individuos que tienen interés en la criptomoneda.

“Durante nuestra investigación, descubrimos que las detonaciones de sandboxing a largo plazo de PowerRatankba que no ejecutan aplicaciones relacionadas con criptomonedas nunca se infectaron con un implante Stage2. Esto puede indicar que los operadores de PowerRatankba solo estaban interesados ​​en infectar a los propietarios de los dispositivos con un interés evidente en varias criptomonedas “, dice el informe de 38 páginas [PDF] publicado por Proofpoint.

Una vez instalado, Gh0st RAT permite a los ciberdelincuentes robar credenciales para billeteras e intercambios de criptomonedas.

Es notable que PowerRatankba y Gh0st RAT no explotan ninguna vulnerabilidad de día cero; en su lugar, Lazarus Group se basa en prácticas de programación mixtas, como la comunicación C & C sobre HTTP, el uso del algoritmo de cifrado Spritz y el cifrador personalizado codificado en Base64.

“Ya es bien sabido que Lazarus Group ha atacado y violado con éxito varias empresas e intercambios de criptomonedas prominentes”, dicen los investigadores. “De estas violaciones, las agencias de la ley sospechan que el grupo ha acumulado casi $ 100 millones de criptomonedas en base a su valor actual”.

Además de robar criptomonedas, el grupo también se encontró infectando terminales de punto de venta (POS) de SoftCamp, ampliamente desplegadas en Corea del Sur, utilizando el malware RatankbaPOS para robar datos de tarjetas de crédito.

Dado que RatankbaPOS compartía el mismo servidor de C & C que el implante PowerRatankba, se cree que ambos implantes están vinculados al Grupo Lazarus.

El crecimiento explosivo de los valores de criptomonedas ha motivado no solo a los comerciantes sino también a los hackers a invertir todo su tiempo y recursos en generar riqueza digital.

Se pueden encontrar más detalles sobre las nuevas campañas de malware ejecutadas por Lazarus Group en el informe detallado [ PDF ], titulado ” Corea del Norte mordida por un error de Bitcoin: las campañas motivadas financieramente revelan una nueva dimensión del grupo Lazarus., “publicado por PowerPoint el miércoles.

Fuente: Thehackernews.

author image

About Reinaldo Alberto Valdiviezo Rojas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

También podría gustarte...

Apple da a conocer los nuevos modelos de su iPhone
Alphabet está usando láser para entregar Internet.
Samsung lanzará su smartphone plegable el próximo año
Ocho consejos para usar profesionalmente las redes sociales.
TRITON: Malware enfocado a atacar Sistemas de control Industrial.
Cesto de basura inteligente clasifica si lo que tiras es reciclable o no