El departamento de inteligencia de amenazas de Google Cloud ha descubierto que los atacantes cibernéticos respaldados por el gobierno de Corea del Norte están atacando activamente a las exchanges de criptomonedas y a las empresas fintech de Brasil.
El informe de inteligencia de amenazas de Google del 13 de junio destacó intentos coordinados de secuestrar, extorsionar y defraudar a individuos y organizaciones brasileñas.
Mientras que los grupos norcoreanos se enfocan principalmente en empresas de criptomonedas, aeroespaciales, de defensa y entidades gubernamentales, los criminales cibernéticos respaldados por el gobierno chino prefieren atacar solo a las organizaciones gubernamentales y al sector energético en Brasil.
La trama detrás de los ciberataques en Brasil
El notorio grupo cibercriminal norcoreano Pukchong (también conocido como UNC4899) ha atacado a ciudadanos y organizaciones brasileñas a través del mercado laboral. Engañaron a buscadores de empleo desprevenidos para que descargaran malware en sus sistemas. Según el informe:
“El proyecto era una app Python troyanizada para recuperar precios de criptomonedas que fue modificada para conectarse a un dominio controlado por atacantes para recuperar una segunda carga útil si se cumplían ciertas condiciones.”
Ataques de malware similares perpetrados por GoPix y URSA también se encontraron activamente dirigidos a empresas de criptomonedas brasileñas.
Consulta la guía de Cointelegraph para aprender más sobre el malware de criptomonedas y cómo detectarlo.
Ataques más allá de las fronteras
Recientemente, el proveedor de billeteras de criptomonedas Trust Wallet pidió a los usuarios de Apple desactivar iMessage, citando “inteligencia creíble” de una vulnerabilidad de día cero que podría permitir a los hackers tomar control de los teléfonos de los usuarios.
Una vulnerabilidad de día cero es un vector de ataque cibernético que aprovecha una falla de seguridad desconocida o no resuelta en software, hardware o firmware.
La empresa de ciberseguridad Kaspersky descubrió recientemente que el grupo de hackers norcoreanos Kimsuky utilizó supuestamente una nueva variante de malware llamada “Durian” para lanzar ataques a empresas de criptomonedas surcoreanas.
“Durian cuenta con una funcionalidad completa de backdoor, que permite la ejecución de comandos entregados, descargas adicionales de archivos y exfiltración de archivos,” escribió Kaspersky.
Además, Kaspersky señaló que LazyLoad también fue utilizado por Andariel, un subgrupo dentro del consorcio de hackers norcoreanos Lazarus Group, lo que sugiere una conexión “tenue” entre Kimsuky y el grupo de hackers más notorio.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión