Grupo Lazarus ataca bolsa de criptomonedas con malware para MacOS

Grupo Lazarus ataca bolsa de criptomonedas con malware para MacOS
Kaspersky ha descubierto AppleJeus, una nueva operación maliciosa llevada a cabo por el infame grupo Lazarus. (Foto: Captura)

Síguenos en Facebook



Redacción Peru.com08.09.2018 / 12:17 PM

Kaspersky ha descubierto AppleJeus, una nueva operación maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyanizado. El objetivo del ataque fue robar criptomonedas de sus víctimas. Además de ese malware basado en Windows, los investigadores pudieron identificar una versión, hasta entonces desconocida, dirigida a la plataforma MacOS.

Este es el primer caso en que los investigadores de Kaspersky Lab han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atención para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas.

Con base en el análisis del equipo de investigación, la penetración de la infraestructura de la bolsa de intercambio comenzó con el descuido de un empleado que descargó una aplicación de terceros desde un sitio web aparentemente legítimo de una empresa que desarrolla software para el comercio de criptomonedas.

El código de la aplicación no es sospechoso, con excepción de un componente: un actualizador. En el software legítimo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, actúa como un módulo de reconocimiento: primero recopila información básica sobre la computadora en la que se ha instalado, luego envía estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el código malicioso regresa, pero en forma de una actualización de software. La actualización maliciosa instala es un troyano conocido como Fallchill, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente. Este hecho dio a los investigadores una base para atribuir el origen. Después de instalado, el troyano Fallchill proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar información financiera valiosa o bien, instalar herramientas adicionales para tal fin.

La situación se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. Esta última suele estar mucho menos expuesta a amenazas cibernéticas en comparación a Windows. La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma.

“Notamos un interés creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instaló software para minar la criptodivisa Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces teniendo como objetivo las bolsas de intercambio de criptomonedas junto con organizaciones financieras regulares. El hecho de que desarrollaran malware para infectar a usuarios de MacOS además de usuarios de Windows y, muy probablemente, hasta crearan una compañía y un software completamente falso para poder entregar este malware sin ser detectados por las soluciones de seguridad, significa que ven gran potencial de ganancias en la operación, y definitivamente debemos esperar más casos similares en un futuro cercano. Para los usuarios de MacOS, este caso es una llamada de atención, especialmente si usan sus Macs para realizar operaciones con criptomonedas”, señala Vitaly Kamluk, director del Equipo Global de Investigación y Análisis para Asia-Pacifico en Kaspersky Lab.

El grupo Lazarus, conocido por la forma avanzada de sus actividades y sus vínculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino también por ataques con motivos financieros. Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.



Cajamarca duplicará producción de quinua orgánica para exportación

Mercedes Araoz asume funciones presidenciales por viaje de Vizcarra

Murales de aliento a la bicolor se lucirán en los alrededores del Nacional

Martín Vizcarra: "Le damos poder a la gente para cambiar Constitución"

Bruce sobre renuncias a PPK: "Es un incidente muy desagradable"

Ir a portada