Hechos clave:
-
Especialistas creen que el grupo de hackers norcoreanos Lazarus está detrás del software malicioso.
-
El malware se aloja en la memoria de las computadoras con MacOS y es muy difícil de detectar.
Un nuevo malware está afectando a las computadoras Apple y es muy difícil de detectar. Investigadores de seguridad confirmaron esta semana la presencia del virus, destacando que sus creadores utilizan una empresa de comercio de criptomonedas falsa como fachada para sus actividades ilegales.
El experto en ciber-seguridad, Dinesh Devadoss, reveló el hallazgo del virus capaz de guardarse en la memoria de los equipos con sistemas operativos MacOS. El malware puede recibir una carga útil —es decir, un mensaje o cualquier otro tipo de datos— desde una ubicación remota. De esta manera, los hackers pueden ejecutar operaciones especificas, tales como robo de archivos personales, directamente desde la memoria del computador. El malware también puede recopilar información del sistema operativo del computador y su número de serie, entre otros datos.
La difusión y resistencia del malware a los antivirus fue confirmada por el experto de seguridad Patrick Wardle, jefe de investigación de la empresa de software Jamf. El especialista destacó que se trata de un virus muy difícil de detectar. El archivo malicioso utiliza una herramienta, conocida como daemon, que le permite ejecutarse de fondo sin afectar las funciones normales del computador. Según cálculos de la plataforma Virus Total, de 70 antivirus del mercado tan solo 12 han podido dar con el nuevo malware. Debido a ello, es considerado un archivo malicioso con gran resistencia.
Una de las características más llamativas del virus es que se encuentra relacionado con una supuesta empresa de comercio de criptomonedas. En la página web de la plataforma, llamada Union Crypto Trader, se puede encontrar el malware empaquetado, señala el blog Objetive See. La empresa se ofrece como «una plataforma inteligente de comercio de arbitraje de criptomonedas», más no posee links que redirijan o permitan descargar aplicaciones reales.
El virus no ha comprometido ningún computador de forma irreversible, tampoco ha robado datos o criptomonedas a los afectados. Los investigadores consideran que el mismo fue descubierto antes de que los hackers mandaran una carga útil que operara una acción en el computador. Es decir, antes de que realizaran un ataque organizado. No obstante, recomiendan a los usuarios de Apple y a las empresas de antivirus estar al pendiente de una activación programada.
Empresas de criptomonedas falsas como carnada
El blog Objetive See señaló, junto a Devadoss y Wardle, que los creadores de este nuevo malware pueden ser el grupo de hackers norcoreanos Lazarus. Los investigadores no solo descubrieron códigos que comparte este virus con otros archivos maliciosos desarrollado por Lazarus, sino que también encontraron similitudes en el modus operandi.
Por ejemplo, en el año 2018 el mismo grupo llevo a cabo una operación de ataque similar, conocida como AppleJeus, que empleaba un malware dirigido a computadoras Apple. Los hackers enviaron por correo electrónico una invitación para participar una plataforma de comercio de criptomonedas, la cual estaba repleta de virus troyanos. Asimismo, el pasado mes de octubre el ecosistema reportó que el grupo Lazarus había creado una empresa de criptomonedas falsa, llamada JMT Trading. El supuesto proyecto contenía en su código, colgado en GitHub, un troyano que le daba acceso al sistema operativo de sus víctimas.
No es la primera vez que el grupo de hackers norcoreanos se encuentra interesado por atraer usuarios de criptomonedas para convertirlos en sus víctimas. Lazarus ha desarrollado con anterioridad virus dedicados exclusivamente a robar bitcoins, así como se les ha indicado como responsables de la creación del ransomware Wannacry. Uno de los ataques de encriptación de datos con rescate en bitcoins que mayores pérdidas generó entre las empresas europeas.
Más allá de si Corea del Norte está involucrada en estos ataques o no, se puede confirmar que en la actualidad existen muchas aplicaciones de comercio de criptomonedas que son maliciosas. Los hackers utilizan la popularidad del ecosistema blockchain para captar usuarios desprevenidos, por lo cual se recomienda tomar prevenciones antes de descargar aplicaciones de la web. Investigar la procedencia de un producto y sus desarrolladores es una práctica que puede evitar ofertas falsas. Asimismo, se recomienda descargar aplicaciones únicamente de sitios web oficiales o redes sociales verificadas.
