Investigadores de McAfee, la compaรฑรญa software de ciberseguridad, han detectado una nueva serie de ataques cibernรฉticos provenientes la organizaciรณn de hackers โLazarus Groupโ, que se encuentran distribuyendo un malware dedicado a robar informaciรณn y, probablemente, bitcoins.
Esto se supo en un reciente comunicado de McAfee, segรบn el cual sus analistas de la oficina de Investigaciรณn de Amenazas Avanzadas (ATR, por sus siglas en inglรฉs) descubrieron lo que parece ser una nueva campaรฑa de robo de bitcoins por parte de Lazarus Group, la cual se titula HaoBao.
Esta campaรฑa opera basรกndose en la sustituciรณn de identidad (Phishing): los hackers se hacen pasar por un ente aparentemente confiable para engaรฑar a los usuarios y lograr instalar un sofisticado malware con efectos a largo plazo. Especรญficamente, en este caso los hackers utilizan el phishing para enviar emails sobre reclutamiento de personal, con el fin de convencer a los usuarios de abrir enlaces o descargar archivos maliciosos que infecten sus computadoras. Y ahora este grupo se estรก enfocando en atacar a usuarios de criptomonedas y a organizaciones financieras.
Una vez infectada la computadora, este software malicioso ejecuta primero un escรกner liviano, que reรบne datos sobre los procesos y los usuarios del dispositivo, y luego va en busca de una clave de registro y una cartera de Bitcoin. ย Si se detecta una cartera, entonces se instala un implante a largo plazo destinado a ganar persistencia en la mรกquina y, segรบn los investigadores, probablemente en este proceso puedan robarse las claves privadas de la cartera, o, cuando menos, su contraseรฑa,ย aunque esto รบltimo no ha sido probado.
Este modus operandi, los objetivos especรญficos del ataque y el tipo de cรณdigo utilizado, hacen creer a McAfee que el Lazarus Group, enlazado a Corea del Norte y a quienes se responsabiliza tambiรฉn por el WannaCry, se prepara para realizar un sofisticado robo de criptomonedas nunca antes visto. Los analistas de ATR llegan a la siguiente conclusiรณn:
En este รบltimo descubrimiento realizado por McAfee ATR, a pesar de una breve pausa en operaciones similares, el grupo Lazarus se dirige a criptodivisas y organizaciones financieras. Ademรกs, hemos observado un mayor uso de mรณdulos de recopilaciรณn de datos limitados para identificar rรกpidamente objetivos para futuros ataques. Esta campaรฑa estรก diseรฑada para identificar a aquellos que ejecutan software relacionado con Bitcoin a travรฉs de escaneos especรญficos del sistema.
Oficina de Investigaciรณn de Amenazas Avanzadas
Esta, por supuesto, no es la primera vez que Lazarus Group usa estas tรกcticas. Durante el aรฑo pasado este grupo hizo uso del phishing para atacar una serie de organizaciones de habla inglesa y coreana, con el fin de obtener datos importantes y dinero de sus vรญctimas. Sin embargo, aunque las herramientas de infecciรณn que han usado para HaoBao han sido usadas con anterioridad por este grupo de hackers, el malware que estรกn usando parece ser algo totalmente nuevo.