Los ataques de malware troyanos por hackers norcoreanos están intentando robar Bitcoin


Investigadores de Secureworks dicen que el malware troyano se está distribuyendo en correos electrónicos de phishing usando el atractivo de un anuncio de trabajo falso

Una prolífica banda de delincuentes cibernéticos vínculos con Corea del Norte está apuntando a los empleados de las empresas de criptomonedas en un intento por robar bitcoins.

Se cree que los ataques de spear-phishing son obra de The Lazarus Group, una operación de hacking que se cree está asociada con Corea del Norte. La operación cibernética se ha relacionado anteriormente con ataques de alto perfil, incluido el brote de ransomware WannaCry , un robo de un ciberespacio de $ 80 millones en Bangladesh y el hackeo de Sony Pictures en 2014 .

Descubiertos por Secureworks, los ataques se han dirigido a empleados de al menos una compañía de criptomonedas con sede en Londres, en lo que los investigadores sugieren es un intento de robar bitcoins.

“Nuestra inferencia basada en la actividad anterior es que este es el objetivo del ataque, especialmente a la luz de los informes recientes de otras fuentes de que Corea del Norte tiene un mayor enfoque en bitcoin y la obtención de bitcoin”, dijo Rafe Pilling, investigador principal de seguridad de Secureworks .

Una sola unidad de bitcoin actualmente vale más de $ 17, 500 , por lo que es un objetivo valioso para los hackers y delincuentes cibernéticos.

Los investigadores señalan que Corea del Norte ha mostrado un interés activo en Bitcoin desde al menos 2013, con nombres de usuario y direcciones IP en Corea del Norte regularmente vinculados a la investigación de la criptomoneda, así como a las campañas de delincuencia y espionaje para adquirirla.

La última ronda de ataques cibernéticos se dirige a los ejecutivos financieros de empresas de criptomonedas con un correo electrónico de phishing que pretende contener información sobre un puesto de director financiero.

El mensaje contiene un archivo adjunto de Microsoft Word, que cuando se abre le dice al usuario que necesita habilitar la edición para ver el documento. Si el usuario sigue las instrucciones, permite que una macro maliciosa oculta emprenda la siguiente etapa del ataque.

Esta macro crea un documento señuelo separado que contiene la descripción de un papel de CFO falso en una empresa de Bitcoin con sede en Europa: el señuelo parece basarse en el perfil de LinkedIn de un CFO real en una firma de criptomonedas en el Lejano Oriente. Los investigadores señalan que anteriormente se sabía que el Grupo Lazarus copiaba y pegaba descripciones de trabajo de los sitios de reclutamiento como parte de campañas anteriores.

Mientras el usuario mira este documento, se instala un Troyano de acceso remoto en segundo plano, lo que proporciona a los atacantes acceso completo a la computadora de la víctima y permite que el atacante descargue malware adicional en cualquier momento.

Los investigadores dicen que el malware utilizado en esta campaña en particular parece ser una nueva forma de troyano, potencialmente diseñado para estos ataques.

No obstante, el malware parece compartir algunos elementos con ataques previos del Grupo Lazarus, como confiar en los componentes del protocolo C2 para comunicarse con los servidores de comando y control. Esto ha llevado a que la Unidad de Amenazas de Contadores de Secureworks lo atribuya a Lazarus y Corea del Norte con “alta confianza”.

Para protegerse de este tipo de campaña de distribución de phishing y malware, Secureworks recomienda que se brinde capacitación en ingeniería social , que las macros en los documentos de Word estén deshabilitadas y que se implemente la autenticación de dos factores en todos los sistemas clave.

Vía |zdnet

 

log in

reset password

Back to
log in