Llegamos a ustedes gracias a:



Alertas de Seguridad

Grupo Lazarus ataca bolsa de criptomonedas

Con malware para MacOS

[02/09/2018] El Equipo de investigación y análisis global de Kaspersky Lab (GReAT, por sus siglas en inglés) ha descubierto AppleJeus, una nueva operación maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyanizado. El objetivo del ataque fue robar criptomonedas de sus víctimas. Además de ese malware basado en Windows, los investigadores pudieron identificar una versión, hasta entonces desconocida, dirigida a la plataforma MacOS.

"Este es el primer caso en que hemos observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atención para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas, señaló Vitaly Kamluk, director del Equipo Global de Investigación y Análisis para Asia-Pacifico en Kaspersky Lab.

Con base en el análisis del equipo de investigación, la penetración de la infraestructura de la bolsa de intercambio comenzó con el descuido de un empleado que descargó una aplicación de terceros desde un sitio web aparentemente legítimo de una empresa que desarrolla software para el comercio de criptomonedas.

"El código de la aplicación no es sospechoso, con excepción de un componente: un actualizador. En el software legítimo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, actúa como un módulo de reconocimiento: primero recopila información básica sobre la computadora en la que se ha instalado, luego envía estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el código malicioso regresa, pero en forma de una actualización de software. La actualización maliciosa instala es un troyano conocido como Fallchill, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente, comentó el analista, añadiendo que este hecho les dio a los investigadores una base para atribuir el origen. "Después de instalado, el troyano Fallchill proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar información financiera valiosa o bien, instalar herramientas adicionales para tal fin, anotó.

Kamluk señaló que la situación se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. "Esta última suele estar mucho menos expuesta a amenazas cibernéticas en comparación a Windows. La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma, indicó Kamluk.

Otra cosa inusual acerca de cómo funciona AppleJeus, agregó, es que, si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utilizó para entregar la carga maliciosa a las computadoras de las víctimas tiene un certificado digital válido para firmar su software y datos de aspecto legítimo para registro del dominio. Sin embargo, al menos con base en información pública, los investigadores de Kaspersky Lab no han podido identificar ninguna organización legítima ubicada en la dirección utilizada en la información del certificado.

El grupo Lazarus, conocido por la forma avanzada de sus actividades y sus vínculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino también por ataques con motivos financieros. Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.

Para protegerse, los expertos en seguridad de Kaspersky Lab recomiendan lo siguiente:

  • No confiar automáticamente en el código que se ejecuta en sus sistemas. Ni un sitio web de apariencia auténtica, ni el perfil de una empresa sólida, ni los certificados digitales garantizan que no existan puertas traseras.
  • Utilice una solución de seguridad, equipada con tecnologías de detección de comportamiento malicioso que permitan detectar incluso amenazas que son desconocidas hasta ahora.
  • Suscriba al equipo de seguridad de su organización a un servicio de informes de inteligencia de amenazas de alta calidad que le permita obtener acceso adelantado a la información sobre los acontecimientos más recientes con relación a tácticas, técnicas y procedimientos que emplean los agentes de amenazas avanzadas.
  • Use autenticación de múltiples factores y carteras en hardware si realiza transacciones financieras importantes. Para este propósito, preferiblemente dedique una computadora independiente y aislada que no use para navegar por Internet o leer el correo electrónico.