Lazarus ha distribuido una aplicación DeFi troyanizada para robar criptomonedas

En el mes de diciembre de 2021, los investigadores de Kaspersky, compañía global de ciberseguridad y privacidad digital fundada en 1997, llegaron a aplicar una nueva campaña de malware, especialmente peligrosa, que utilizaba una aplicación DeFi troyanizada entregada por el grupo Lazarus, siempre en contra el negocio de las criptomonedas. 
 

En concreto, la aplicación dispone de un programa legítimo llamado DeFi Wallet, capaz de guardar y gestionar carteras de criptodivisas. Además, cuando se ejecuta, la aplicación deja caer un archivo malicioso junto al instalador de la aplicación legítima, que llega a lanzar el malware con una ruta de instalación troyanizada. Este malware generado sobrescribe entonces la aplicación legítima con la propia aplicación troyanizada.
 

El malware que se usa en este esquema de infección es un backdoor con múltiples funciones necesarias pensadas con el objetivo de controlar los sistemas de la víctima de forma remota. Cuando tiene el control del sistema, el ciberdelincuente, llega a eliminar archivos, recopilar información, conectarse a direcciones IP específicas y también comunicarse con el servidor C2. Por otra parte, y siempre con la base de estar basándose en el historial de ataques de Lazarus, los analistas suponen que la motivación de esta campaña se centra en un claro beneficio económico. 
 

Diversas coincidencias con otras herramientas utilizadas por el grupo Lazarus
 

Concretamente, los clusters de malware CookieTime y ThreatNeedle. Además, el esquema de infección en varias etapas también es especialmente utilizado en la infraestructura de Lazarus.
 

“Hemos observado claramente el interés de Lazarus en la industria de las criptomonedas desde hace tiempo. También hemos visto una y otra vez que han desarrollado métodos sofisticados para atraer a sus víctimas sin llamar la atención sobre el proceso de infección. Por otra parte, las industrias dedicadas a criptomonedas y blockchain siguen evolucionando y atrayendo mayores niveles de inversión. Paralelamente, no sólo atraen a los estafadores y a los phishers, También a múltiples "cazadores de caza mayor", incluidos los grupos de APT con motivación financiera. Además, con el mercado de las criptomonedas en crecimiento, pensamos de todas, todas que el interés de Lazarus en la industria no disminuirá en breve".

"De hecho, en una campaña reciente, Lazarus abusó de una aplicación legítima de DeFi imitándola y también lanzando malware, lo cual es una táctica común utilizada en la caza de criptomonedas. Por si fuera poco, instamos a las empresas a que permanezcan atentas a los enlaces y archivos adjuntos de correo electrónico desconocidos, pudiendo ser muy fraudulentos, aunque parezcan familiares y seguros", concluye Seongsu Park, Analista principal de seguridad del Equipo de Investigación y Análisis Global de Kaspersky (GReAT).
 

Consejos muy útiles a tener presente, según Kaspersky
 

Para evitar ser víctima de ataques dirigidos por actores de amenazas conocidos, pero también desconocidos, los analistas de Kaspersky recomiendan aplicar:
 

- una auditoría de ciberseguridad y una monitorización constante de sus redes para reparar cualquier vulnerabilidad o elemento malicioso descubierto en el perímetro o dentro de la red.
 

- una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.
 

- cierta adecuación a los empleados para que descarguen programas y aplicaciones móviles sólo de fuentes de confianza y de tiendas de aplicaciones oficiales.
 

- el producto EDR para permitir la detección oportuna de incidentes y la respuesta a las amenazas avanzadas. Un servicio como Kaspersky Managed Detection and Response brinda capacidades de caza de amenazas contra ataques dirigidos.  
 

- una solución antifraude, específica, que llegue a proteger firmemente las transacciones de criptomonedas detectando y evitando el robo de cuentas, las transacciones desconocidas y el blanqueo de dinero.