Lazarus se dirige contra los mercados de criptomoneda con malware macOS
Nueva operación maliciosa del famoso grupo Lazarus. Los atacantes se introdujeron en la red de un servicio de intercambio de criptomonedas en Asia utilizando un software de criptomonedas troyanizado.
El objetivo del ataque era robar criptomonedas de sus víctimas. Además del malware basado en Windows, los analistas pudieron identificar una versión antes desconocida dirigida a la plataforma macOS.
Esta es la primera vez que los analistas de Kaspersky han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de macOS, y representa una llamada de atención para todos los que utilizan este sistema operativo en actividades relacionadas con criptomonedas.
Basándose en el análisis realizado por el GReAT, la entrada en la infraestructura del servicio de intercambio comenzó cuando un empleado desprevenido descargó una aplicación de terceros desde una página web de apariencia legítima, de una empresa que desarrolla software para el comercio de criptomonedas.
El código de la aplicación no es sospechoso, con la excepción de un elemento: un actualizador. En el software legítimo, dichos componentes se utilizan para descargar nuevas versiones de programas. En el caso de AppleJeus, actúa como un módulo de reconocimiento. Primero recopila información básica sobre el equipo en el que se ha instalado, luego envía esta información al servidor de comando y control y, si los atacantes deciden que el ordenador vale la pena atacar, el código malicioso vuelve en la forma de una actualización de software. La actualización maliciosa instala un troyano conocido como Fallchill, una herramienta antigua que el grupo Lazarus ha vuelto a usar recientemente. Este hecho proporcionó a los analistas una base para la atribución. Tras la instalación, el troyano de Fallchill proporciona a los ciberatacantes acceso casi ilimitado al ordenador atacado, lo que les permite hacerse con valiosa información financiera o implementar herramientas adicionales para tal fin.
La situación se vio agravada por el hecho de que los criminales hayan desarrollado un software para las dos plataformas, Windows y macOS. Este segundo sistema operativo está generalmente mucho menos expuesto a ciberamenazas que Windows. La funcionalidad de ambas versiones de plataforma de malware es exactamente la misma.
Otra cosa inusual acerca de la operación AppleJeus es que, si bien parece un ataque a la cadena de suministro, en realidad puede que no sea este el caso. El proveedor del software de intercambio de criptomonedas que se utilizó para entregar la carga maliciosa a los ordenadores de las víctimas tiene un certificado digital válido para firmar su software y registros de aspecto legítimo para el dominio. Sin embargo, al menos sobre la base de información disponible públicamente, los analistas de Kaspersky Lab no pudieron identificar ninguna organización legítima ubicada en la dirección utilizada en la información del certificado.
“A principios de 2017 notamos un creciente interés del grupo Lazarus en los mercados de criptomonedas, cuando un operador de Lazarus instaló el software de minería Monero en uno de los servidores. Desde entonces, ya ha sido detectado varias veces atacando mercados de cambio de criptomonedas y otras entidades financieras normales. El hecho de que hayan desarrollado malware para infectar a usuarios de macOS además de usuarios de Windows y, muy probablemente, incluso crearan una compañía de software y un producto de software completamente falsos para poder entregar este malware no detectado por soluciones de seguridad, significa que ven potencialmente grandes beneficios en toda la operación y que debemos esperar ver más casos similares en un futuro cercano. Para los usuarios de macOS, este caso es una llamada de atención especialmente si utilizan sus Macs para realizar operaciones con criptomonedas”, señala Vitaly Kamluk, responsable del equipo APAC de GReAT en Kaspersky Lab.
El grupo Lazarus, conocido por sus sofisticadas operaciones y sus vínculos con Corea del Norte, es famoso no solo por su ciberespionaje y su cibersabotaje, sino también por sus ataques con motivaciones económicas. Un número importante de analistas, entre los que se incluye Kaspersky Lab, ya habían informado anteriormente sobre las actividades de este grupo, atacando bancos y otras grandes entidades financieras.
Para proteger a su compañía y a los usuarios de ciberataques sofisticados de grupos como Lazarus, los analistas de seguridad de Kaspersky Lab recomiendan:
• No confiar automáticamente en el código que se ejecuta en nuestros sistemas. Ni un sitio web auténtico, ni un perfil de empresa sólido, ni certificados digitales garantizan la ausencia de puertas traseras.
• Utilizar una solución de seguridad robusta, equipada con tecnologías de detección de comportamiento malicioso que permitan atrapar incluso las amenazas desconocidas hasta ahora.
• Suscribirse al equipo de seguridad de su organización a un servicio de informes de alta calidad de inteligencia de amenazas, para obtener así acceso temprano a la información sobre los desarrollos más recientes en las tácticas, técnicas y procedimientos de los actores de amenazas sofisticadas.
• Usar autenticación multi-factor y carteras de hardware si se están realizando transacciones financieras importantes. Para ello se debe utilizar preferentemente un ordenador aislado, que no se use para navegar por Internet o leer el correo electrónico.