Microsoft informa que se ha identificado un actor de amenazas que se dirige a las nuevas empresas de inversión en criptomonedas. Una parte que Microsoft denominó DEV-0139 se hizo pasar por una empresa de inversión en criptomonedas en Telegram y usó un archivo de Excel armado con malware «bien elaborado» para infectar sistemas a los que luego accedió de forma remota.
La amenaza es parte de una tendencia en los ataques que muestran un alto nivel de sofisticación. En este caso, el actor de amenazas, identificándose falsamente con perfiles falsos de los empleados de OKX, se unió a grupos de Telegram «utilizados para facilitar la comunicación entre clientes VIP y plataformas de intercambio de criptomonedas», escribió Microsoft en una publicación de website del 6 de diciembre. Microsoft explicó:
«Estamos […] viendo ataques más complejos en los que el actor de amenazas muestra un gran conocimiento y preparación, tomando medidas para ganarse la confianza de su objetivo antes de implementar cargas útiles”.
En octubre, se invitó al objetivo a unirse a un nuevo grupo y luego se le pidió su opinión sobre un documento de Excel que comparaba las estructuras de tarifas VIP de OKX, Binance y Huobi. El documento proporcionó información precisa y un alto conocimiento de la realidad del comercio de criptomonedas, pero también descargó de manera invisible un archivo .dll (Biblioteca de enlaces dinámicos) malicioso para crear una puerta trasera en el sistema del usuario. Luego se le pidió al objetivo que abriera el archivo .dll durante el curso de la discusión sobre las tarifas.
El infame Lazarus Team de la RPDC ha desarrollado versiones nuevas y mejoradas de su malware de robo de criptomonedas AppleJeus, lo que marca el último intento del régimen de recaudar fondos para los programas de armas de Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— Presidente de Corea del CSIS (@CSISKoreaChair) 6 de diciembre de 2022
La técnica de ataque en sí se conoce desde hace mucho tiempo. Microsoft sugirió que el actor de amenazas period el mismo que se encontró usando archivos .dll para propósitos similares en junio y que probablemente también estaba detrás de otros incidentes. Según Microsoft, DEV-0139 es el mismo actor que la firma de seguridad cibernética Volexity vinculó al Grupo Lazarus patrocinado por el estado de Corea del Norte, utilizando una variante de malware conocida como AppleJeus y un MSI (instalador de Microsoft). La Agencia Federal de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos documentó AppleJeus en 2021 y Kaspersky Labs lo informó en 2020.
Relacionado: Grupo Lazarus de Corea del Norte supuestamente detrás del hackeo del Puente Ronin
El Departamento del Tesoro de los Estados Unidos ha conectado oficialmente a Lazarus Team con el programa de armas nucleares de Corea del Norte.
