Un nuevo informe de Group-IB destaca una campaña en curso del grupo norcoreano Lazarus, conocida como la campaña “Eager Crypto Beavers”. Este grupo emplea tácticas sofisticadas, como ofertas de trabajo falsas y aplicaciones de videoconferencia maliciosas, para distribuir malware.

Según un nuevo informe de Group-IB, el notorio grupo Lazarus, respaldado por el gobierno norcoreano, está intensificando sus campañas cibernéticas con motivaciones financieras. La campaña, denominada “Eager Crypto Beavers”, utiliza tácticas cada vez más sofisticadas para atacar a los profesionales y desarrolladores de blockchain.

La campaña de entrevistas contagiosas

Los investigadores han observado una campaña llamada “Entrevista contagiosa”, en la que se atrae a las víctimas con ofertas de trabajo falsas. Los solicitantes de empleo son engañados para que descarguen y ejecuten un proyecto Node.js malicioso que contiene una variante de malware llamada “BeaverTail”. BeaverTail luego implementa una puerta trasera de Python conocida como “InvisibleFerret”, que en última instancia roba datos confidenciales.

Los actores de amenazas han ampliado sus métodos de ataque y utilizan aplicaciones de videoconferencia fraudulentas como “FCCCall” para imitar plataformas legítimas. Estas aplicaciones se distribuyen a través de sitios web clonados y actúan como un mecanismo de distribución del malware BeaverTail.

El grupo Lazarus ataca a profesionales de blockchain con videoconferencias falsas y estafas laborales
El sitio clonado utilizado en la campaña (Captura de pantalla: Group-IB)

En el último informe de Group-IB compartido con Hackread.com, la compañía reveló que las nuevas tácticas de ataque de Lazarus Group incluyen portales de empleo como WWR, Moonlight y Upwork, además de LinkedIn.

Además, utilizando plataformas como Telegram, el grupo manipula aún más a las víctimas. Lazarus también ha inyectado JavaScript malicioso en proyectos de juegos y criptomonedas en GitHub y ahora está distribuyendo aplicaciones de videoconferencia fraudulentas como “FCCCall”, que imita servicios legítimos para instalar malware como BeaverTail. Una vez instalado en Windows, BeaverTail roba las credenciales del navegador y los datos de la billetera de criptomonedas antes de ejecutar otro malware, InvisibleFerret.

Vale la pena señalar que el malware BeaverTail también ataca a dispositivos macOS.

Los repositorios maliciosos del grupo contienen código ofuscado que obtiene amenazas adicionales de los servidores de comando y control (C2), lo que dificulta la detección. Además, la versión Python de BeaverTail y otra herramienta, CivetQ, permiten el acceso remoto a través de AnyDesk y garantizan la persistencia en sistemas Windows, macOS y Linux.

Lo que es peor, Lazarus ha ampliado sus objetivos de robo de datos para incluir extensiones de navegador, administradores de contraseñas e incluso Microsoft Sticky Notes, y ha exfiltrado datos robados a través de FTP y Telegram. Los indicadores clave de compromiso (IOC) incluyen puntos finales C2 para descargas de malware y firmas de archivos únicas.

¿Sorprendido? ¡No te sorprendas!

El Grupo Lazarus, conocido por ayudar a financiar la economía norcoreana robando cientos de millones de dólares mediante ciberataques, está utilizando nuevas tácticas. Este cambio no es sorprendente y es un claro recordatorio de que los ciberataques son una gran amenaza tanto para las empresas como para los individuos.

Por ello, la formación en ciberseguridad debería ser obligatoria en las empresas y escuelas. Además, las personas deberían estar alerta y usar el sentido común para evitar estafas y ofertas que parecen demasiado buenas para ser ciertas.

  1. Los federales desmantelan una red norcoreana de robo de identidad que tenía como blanco a empresas estadounidenses
  2. Los piratas informáticos utilizaron un sitio web de empleo falso para estafar a veteranos estadounidenses desempleados
  3. KnowBe4 fue engañado para contratar a un hacker norcoreano como profesional de TI
  4. Estafa de ofertas de trabajo falsas en LinkedIn que se está extendiendo por la puerta trasera de More_eggs
  5. ¡Se descubren repositorios falsos de GitHub que descargan malware como PoC OTRA VEZ!
  6. Un director financiero engaña a un empleado mediante inteligencia artificial en una estafa deepfake de 25,6 millones de dólares
  7. Un falso script de PoC engañó a los investigadores para que descargaran VenomRAT

Share.
Leave A Reply