Microsoft informa de que se ha identificado una amenaza dirigida a empresas de inversión en criptomoneda. Una parte que Microsoft ha bautizado como DEV-0139 se hizo pasar por una empresa de inversión en criptomoneda en Telegram y utilizó un archivo de Excel adulterado con un malware "bien elaborado" para infectar sistemas a los que luego accedió de forma remota.
La amenaza forma parte de una tendencia de ataques que muestran un alto nivel de sofisticación. En este caso, el interprete de la amenaza, identificándose falsamente con perfiles falsos de empleados de OKX, se unió a grupos de Telegram "utilizados para facilitar la comunicación entre clientes VIP y exchanges de criptomonedas", escribió Microsoft en una entrada de blog del 6 de diciembre. Microsoft explicó: Microsoft explicó:
"Estamos [...] viendo ataques más complejos en los que el autor de la amenaza muestra un gran conocimiento y preparación, tomando medidas para ganarse la confianza de su objetivo antes de desplegar los archivos infectados".
En octubre, se invitó a la víctima a unirse a un nuevo grupo y luego se le pidieron comentarios sobre un documento de Excel que comparaba las estructuras de comisiones VIP de OKX, Binance y Huobi. El documento proporcionaba información precisa y un alto grado de concienciación sobre la realidad del comercio de criptomonedas, pero también cargaba de forma invisible un archivo .dll (Dynamic Link Library) malicioso para crear una puerta trasera en el sistema del usuario. Luego, se le pedía a la víctima que abriera él mismo el archivo .dll durante el transcurso de la conversación sobre las comisiones.
DPRK’s infamous Lazarus Group has developed new and improved versions of its cryptocurrency-stealing malware AppleJeus, marking the regime’s latest attempt to garner funds for Kim Jong-un’s weapons programs. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
— CSIS Korea Chair (@CSISKoreaChair) December 6, 2022
La técnica de ataque en sí se conoce desde hace tiempo. Microsoft sugirió que el autor de la amenaza era el mismo que se descubrió en junio utilizando archivos .dll con fines similares y que probablemente también estaba detrás de otros incidentes. Según Microsoft, DEV-0139 es el mismo actor que la empresa de ciberseguridad Volexity relacionó con el colectivo estatal norcoreano Lazarus Group, utilizando una variante de malware conocida como AppleJeus y un instalador MSI (Microsoft installer). La Agencia Federal de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos documentó AppleJeus en 2021, y Kaspersky Labs informó sobre él en 2020.
El Departamento del Tesoro de Estados Unidos ha relacionado oficialmente a Lazarus Grouo con el programa de armas nucleares de Corea del Norte.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
Sigue keyendo:
- El token WEMIX se desploma un 70% tras ser retirado de los exchanges surcoreanos
- Ankr dice que nadie debe negociar el aBNBc, sólo se compensará a los LP "sorprendidos"
- Lazarus, de Corea del Norte, está detrás de años de hackeos de criptomonedas en Japón, afirma la policía
- Sam Bankman-Fried revela lo que hay detrás de la reapertura de los retiros en Bahamas por parte de FTX
- Los hackeos de criptomonedas en 2022 podrían haberse evitado si los desarrolladores tomaran medidas básicas de seguridad
- Desarrolladores de Solana realizaron una bifurcación del hub de liquidez de Serum después del hackeo a FTX
- 3 razones por las que el precio de Ethereum sigue rechazando el nivel de USD 1,300