[02/08/2022] En el segundo trimestre del 2022, los investigadores de Kaspersky fueron testigos de cómo los actores de amenazas persistentes avanzadas (APT) se dirigían cada vez más a la industria de las criptomonedas. Según lo señalado en el comunicado de prensa, utilizando como cebo contenidos relacionados con las criptomonedas y advertencias de las fuerzas de seguridad, el actor detrás de esta nueva y muy activa campaña, apodada "NaiveCopy", atacó a inversores en acciones y criptomonedas en Corea del Sur. Un análisis más detallado de las tácticas y técnicas de NaiveCopy reveló otra campaña relacionada activa el año anterior que tenía como objetivo entidades desconocidas tanto en México como en el Reino Unido. Esto, junto con otros descubrimientos, se revela en el último resumen trimestral de inteligencia sobre amenazas de Kaspersky.
"Los actores de las APT cambian continuamente sus tácticas, perfeccionan sus herramientas y desarrollan nuevas técnicas. Para ayudar a los usuarios y a las empresas a seguir estos cambios y a mantenerse informados sobre las posibles amenazas a las que pueden enfrentarse, el equipo de Investigación y Análisis Global (GReAT) de Kaspersky ofrece informes trimestrales sobre los avances más importantes en el panorama de las amenazas persistentes avanzadas. El informe trimestral sobre las tendencias de las APT se crea utilizando la investigación privada de inteligencia sobre amenazas de Kaspersky e incluye los principales desarrollos e incidentes cibernéticos que los investigadores creen que todo el mundo debería conocer”, señaló David Emm, investigador principal de seguridad del GReAT de Kaspersky.
En el segundo trimestre del 2022, los investigadores de Kaspersky descubrieron una nueva campaña muy activa que había comenzado en marzo y que tenía como objetivo a los inversores en acciones y criptomonedas. "Esto es inusual teniendo en cuenta que la mayoría de los actores de APT no persiguen beneficios financieros. El actor utilizaba contenidos relacionados con las criptomonedas y denuncias de las fuerzas de seguridad como temas para atraer a sus víctimas. Las cadenas de infección incluían la inyección remota de plantillas, generando una macro maliciosa que iniciaba un procedimiento de infección en varias fases utilizando Dropbox. Después de enviar la información del host de la víctima, el malware intenta obtener la carga útil de la etapa final”, indicó el analista.
Afortunadamente, añadió Emm, los expertos de Kaspersky tuvieron la oportunidad de adquirir la carga útil de la etapa final, que consiste en varios módulos utilizados para exfiltrar información sensible de la víctima. "Al analizar esta carga útil, los investigadores de Kaspersky encontraron muestras adicionales que habían sido utilizadas hace un año durante otra campaña contra entidades de México y Reino Unido”.
Los expertos de Kaspersky no ven ninguna conexión precisa con actores de amenazas conocidos, sin embargo, creen que están familiarizados con el idioma coreano y que han utilizado una táctica similar empleada anteriormente por el grupo Konni para robar las credenciales de inicio de sesión de un reconocido portal coreano. El grupo Konni es un actor de amenazas que ha estado activo desde mediados de 2021, dirigiéndose principalmente a entidades diplomáticas rusas.
CIO, Perú