Según un nuevo informe, los usuarios de Mac en la industria de la criptografía están siendo atacados con malware por presuntos piratas informáticos norcoreanos que buscan desviar fondos.
La empresa de ciberseguridad SentinelOne publicó un informe el jueves que vincula un incidente que observaron en octubre con varios otros ataques que han ocurrido desde abril de 2023.
Los investigadores dijeron que observaron un intento de phishing en una empresa relacionada con las criptomonedas que era parte de una campaña que se remonta a julio de este año. La campaña, a la que denominaron “Riesgo oculto”, utiliza señuelos de correo electrónico y PDF con titulares de noticias falsos o historias sobre temas relacionados con las criptomonedas.
La infección inicial se logra a través de un correo electrónico de phishing que contiene un enlace a una aplicación maliciosa, disfrazado de enlace a un documento PDF relacionado con un tema de criptomonedas. Los ejemplos de señuelos incluyen “Riesgo oculto detrás del nuevo aumento del precio de Bitcoin”, “Temporada 2.0 de Altcoin: las gemas ocultas a tener en cuenta” y “Nueva era para Stablecoins y DeFi, CeFi”.
«Los correos electrónicos secuestran el nombre de una persona real en una industria no relacionada como remitente y pretenden reenviar un mensaje de un conocido influyente en las redes sociales criptográficas», dijeron los investigadores.
Un PDF se modeló a partir de un artículo de investigación real de un académico asociado con la Universidad de Texas titulado «Bitcoin ETF: Oportunidades y Riesgo».
La evidencia técnica vinculó la campaña con BlueNoroff, un subgrupo de piratas informáticos que, según dijo recientemente el Departamento del Tesoro de Estados Unidos, forma parte de Lazarus, el grupo de piratas informáticos gubernamental más notorio con sede en Corea del Norte.
La ONU dijo a principios de este año que BlueNoroff era una operación ubicada dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte.
SentinelOne explicó que, a diferencia de otras campañas previamente atribuidas a BlueNoroff, Hidden Risk involucraba «un correo electrónico de phishing poco sofisticado que no involucra al destinatario con contenido contextualmente relevante, como referencias a información personal o relacionada con el trabajo».
El enlace en el correo electrónico de phishing lleva a los usuarios a la primera etapa de un paquete de aplicaciones maliciosas titulado «Riesgo oculto detrás del nuevo aumento de Bitcoin Price.app».
La aplicación maliciosa de Mac fue firmada el 19 de octubre con el ID de desarrollador de Apple “Avantis Regtech Private Limited”, una firma que desde entonces ha sido revocada por Apple.
Cuando se inicia, la aplicación descarga un archivo PDF señuelo y lo abre en la aplicación Vista previa. La puerta trasera que se instala se parece a otro malware utilizado anteriormente por BlueNoroff, pero utiliza un método novedoso de persistencia, dijeron los investigadores.
Los piratas informáticos también han construido una extensa red de infraestructura conectada que imita organizaciones legítimas de inversión, tecnología financiera, Web3 y criptomonedas, dijeron.
En los últimos meses, los piratas informáticos han abusado del registrador de dominios NameCheap para crear muchos de los sitios maliciosos y han utilizado herramientas de automatización de marketing por correo electrónico como Brevo para eludir los filtros de detección de spam y phishing, SentinelOne.
Los investigadores teorizaron que la atención de las fuerzas del orden y la industria cibernética en campañas anteriores puede haber obligado a los piratas informáticos a cambiar su actividad, pero también señalaron que es probable que los actores de amenazas tengan suficientes recursos para lanzar múltiples campañas a la vez.
Una advertencia clave es que BlueNoroff parece ser capaz de adquirir o secuestrar cuentas válidas de «desarrollador identificado» de Apple a voluntad, lo que les permite certificar ante notario su malware. Esto les permite eludir las funciones de seguridad repetidamente, lo que permite ataques a dispositivos Mac.
Grupos norcoreanos como BlueNoroff han atacado regularmente a empresas relacionadas con criptomonedas en un esfuerzo por robar fondos o insertar malware de puerta trasera en los dispositivos.
El informe de SentinelLabs hace referencia a varios hallazgos anteriores de empresas de seguridad como ESET, Jamf y otras que destacan los ataques de BlueNoroff a usuarios de macOS.
Agregaron que el FBI advirtió en septiembre que Corea del Norte estaba llevando a cabo “campañas de ingeniería social altamente personalizadas y difíciles de detectar contra empleados de finanzas descentralizadas, criptomonedas y negocios similares para implementar malware y robar criptomonedas de la empresa”.
Futuro grabado
Nube de inteligencia.
Obtenga más información.