Lazarus mejora sus capacidades para el robo de criptomonedas
El Equipo de Investigación y Análisis Global de Kaspersky, GReAT, publicó en 2018 sus hallazgos sobre AppleJeus, una operación del prolífico actor de amenazas conocido como grupo Lazarus para robar criptomonedas.
Ahora, nuevas investigaciones muestran que la operación sigue en marcha con tácticas y procedimientos mejorados y más cuidadosos, así como el uso de Telegram como nuevo vector de ataque. La operación se ha cobrado víctimas en el Reino Unido, Polonia, Rusia y China, incluyendo varias entidades cuyo negocio son las criptomonedas.
El grupo Lazarus, uno de los actores de amenazas persistentes avanzadas (APT) más activos y prolíficos, ha llevado a cabo una serie de campañas dirigidas a organizaciones relacionadas con las criptomonedas. Durante su operación inicial de 2018 conocida como AppleJeus, este actor de amenazas creó una compañía falsa de criptomonedas para distribuir su aplicación manipulada y alcanzar así un mayor nivel de confianza entre las víctimas potenciales. Esta operación estuvo marcada por la construcción por parte de Lazarus de su primer malware para MacOS. La aplicación fue descargada por usuarios desde sitios web de terceros y la carga maliciosa fue distribuida a través de lo que se disfrazó como una actualización regular de la aplicación. La carga permitía al atacante obtener el control total del dispositivo de los usuarios y robar sus criptomonedas.
Los investigadores de Kaspersky identificaron cambios significativos en las tácticas de ataque del grupo en la siguiente fase de la operación, conocida como AppleJeus Sequel. El vector de ataque de 2019 imitó al del año anterior, pero con algunas mejoras. Esta vez, Lazarus creó sitios web falsos relacionados con criptomonedas, que alojaban enlaces a canales de organizaciones falsas en Telegram y entregaban malware mediante esta aplicación de mensajería.
Al igual que en la operación inicial de AppleJeus, el ataque se realizó en dos fases. Primero, los usuarios descargaban una aplicación y el programa de descarga asociado lanzaba la siguiente descarga desde un servidor remoto, permitiendo al atacante controlar totalmente el dispositivo infectado con una puerta trasera permanente. Sin embargo, en este caso la carga se realizó con mayor cuidado para evadir a las soluciones de detección basadas en el comportamiento. En los ataques contra objetivos basados en MacOS se añadió además un mecanismo de autenticación al programa de descarga de MacOS y se cambió el framework de desarrollo. Además, se adoptó una técnica de infección sin archivo. Para los usuarios de Windows, los atacantes no utilizaron el malware Fallchill (que se empleó en la primera operación de AppleJeus) y crearon un malware que sólo se ejecutaba en sistemas específicos tras contrastarlos con un conjunto de valores predeterminados. Estos cambios demuestran que el actor de amenazas ha sido más cuidadoso en sus ataques, empleando nuevos métodos para evitar ser detectado.
Lazarus también realizó modificaciones significativas en el malware de MacOS y amplió el número de versiones. A diferencia del ataque anterior, durante el cual Lazarus utilizó el código abierto QtBitcoinTrader para construir un instalador de macOS a medida, en AppleJeus Sequel el actor de amenazas comenzó a utilizar un código casero para construir un instalador malicioso. Estos desarrollos significan que el actor de la amenaza continuará creando modificaciones del malware de macOS y que la reciente detección realizada por Kaspersky muestra un paso intermedio en este cambio.
"La nueva operación AppleJeus demuestra que, pese al significativo estancamiento de los mercados de criptomoneda, Lazarus continúa invirtiendo en ataques relacionados con ellas, haciéndolos cada vez más sofisticados. Los cambios y la diversificación de su malware demuestran que con toda probabilidad estos ataques crecerán en número y se convertirán en una amenaza más seria", comenta Seongsu Park, investigador de seguridad de Kaspersky.
