Etiqueta: seguridad

Hackers atacan la bolsa de criptomonedas con malware para MacOS

El equipo de investigaci贸n y an谩lisis global de Kaspersky Lab, ha descubierto AppleJeus, una nueva operaci贸n maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyano. El objetivo del ataque fue robar criptomonedas de sus v铆ctimas. Adem谩s de ese malware basado en Windows, los investigadores pudieron identificar una versi贸n, hasta entonces desconocida, dirigida a la plataforma MacOS.

Este es el primer caso en que los investigadores de Kaspersky Lab han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atenci贸n para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas.

Con base en el an谩lisis del equipo de investigaci贸n, la penetraci贸n de la infraestructura de la bolsa de intercambio comenz贸 con el descuido de un empleado que descarg贸 una aplicaci贸n de terceros desde un sitio web aparentemente leg铆timo de una empresa que desarrolla software para el comercio de criptomonedas.

El c贸digo de la aplicaci贸n no es sospechoso, con excepci贸n de un componente: un actualizador. En el software leg铆timo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, act煤a como un m贸dulo de reconocimiento: primero recopila informaci贸n b谩sica sobre la computadora en la que se ha instalado, luego env铆a estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el c贸digo malicioso regresa, pero en forma de una actualizaci贸n de software. La actualizaci贸n maliciosa instala es un troyano conocido como Fallchill, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente. Este hecho dio a los investigadores una base para atribuir el origen. Despu茅s de instalado, el troyano Fallchill proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar informaci贸n financiera valiosa o bien, instalar herramientas adicionales para tal fin.

La situaci贸n se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. Esta 煤ltima suele estar mucho menos expuesta a amenazas cibern茅ticas en comparaci贸n a Windows.

La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma.

Otra cosa inusual acerca de c贸mo funciona AppleJeus es que, si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utiliz贸 para entregar la carga maliciosa a las computadoras de las v铆ctimas tiene un certificado digital v谩lido para firmar su software y datos de aspecto leg铆timo para registro del dominio. Sin embargo, al menos con base en informaci贸n p煤blica, los investigadores de Kaspersky Lab no han podido identificar ninguna organizaci贸n leg铆tima ubicada en la direcci贸n utilizada en la informaci贸n del certificado.

“Notamos un inter茅s creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instal贸 software para minar Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces teniendo como objetivo las bolsas de intercambio de criptomonedas junto con organizaciones financieras regulares. El hecho de que desarrollaran malware para infectar a usuarios de MacOS adem谩s de usuarios de Windows y, muy probablemente, hasta crearan una compa帽铆a y un software completamente falso para poder entregar este malware sin ser detectados por las soluciones de seguridad, significa que ven gran potencial de ganancias en la operaci贸n, y definitivamente debemos esperar m谩s casos similares en un futuro cercano. Para los usuarios de MacOS, este caso es una llamada de atenci贸n, especialmente si usan sus Macs para realizar operaciones con criptomonedas”, se帽ala Vitaly Kamluk, director del Equipo Global de Investigaci贸n y An谩lisis para Asia-Pacifico en Kaspersky Lab.

El grupo Lazarus, conocido por la forma avanzada de sus actividades y sus v铆nculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino tambi茅n por ataques con motivos financieros. Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.