Lazarus Group, el equipo norcoreano de hackeo, atacó varios exchanges de criptomonedas el año pasado, informa Chainalysis. Uno de los ataques implicó la creación de un sitio web falso —pero muy realista— de trading mediante el uso de bots, que fue ofrecido a los empleados del exchange DragonEx.

En marzo de 2019 los hackers robaron aproximadamente 7 millones de dólares en varias criptomonedas del exchange DragonEx, con sede en Singapur. Aunque es una suma relativamente pequeña, los hackers se esforzaron mucho para obtenerla.

El grupo utilizó un sofisticado ataque del tipo phishing, creando una página web de aspecto muy realista, así como presencia en las redes sociales, para una compañía falsa llamada WFC Proof. La supuesta compañía había creado Worldbit-bot, un bot para trading que luego se ofreció a los empleados de DragonEx.

Screenshot of the fake website

Captura de pantalla de la página web falsa. Fuente: Chainalysis

Aunque el software supuestamente se parecía a un bot real para trading, contenía software malicioso (malware) que podía secuestrar el ordenador que había infectado. Finalmente el software se instalaba en una máquina que contenía las claves privadas del monedero online de DragonEx, permitiendo que los hackers robaran los fondos.

El ataque es notable por su objetivo y ejecución altamente específicos. Los hackers parecen estar muy bien versados en criptomonedas, incluso colocando una advertencia irónica en su sitio web, sobre no permitir que nadie acceda a las claves privadas personales.

Dinero rápido

El grupo era conocido por no mover el dinero robado hasta 18 meses y cobrarlo una vez que todo estuviera en calma.

En 2019 emplearon otro método, eligiendo cambiar el dinero lo antes posible. Para hacer esto, Lazarus comenzó a usar monederos habilitados con CoinJoin para mezclar sus monedas.

Los hackers cobraron la mayoría del dinero en los 60 días siguientes al ataque, a diferencia de casi un año completo para los ataques de 2018.