El avanzado y persistente actor Lazarus, conocido por sus crecientes motivaciones económicas, ha atacado negocios de criptomonedas con nuevas aplicaciones financieras descentralizadas (DeFi) troyanizadas con el fin de aumentar los beneficios.
Lazarus abusa de las aplicaciones legítimas utilizadas para gestionar los monederos de criptomonedas distribuyendo malware que proporciona control sobre los sistemas de las víctimas.
El grupo Lazarus es uno de los actores de APT más activos del mundo y operativo al menos desde 2009. A diferencia de la mayoría de los grupos APT, Lazarus y otros actores de amenazas asociados han hecho de los beneficios financieros uno de sus principales objetivos. A medida que el mercado de criptomonedas crece junto con los mercados de tokens no fungibles (NFT) y de finanzas descentralizadas (DeFi), Lazarus ha seguido encontrando nuevas formas de atacar a los usuarios de criptomonedas.
En diciembre de 2021, los investigadores de Kaspersky descubrieron una nueva campaña de malware, que utilizaba una aplicación DeFi troyanizada entregada por el grupo Lazarus, contra el negocio de las criptomonedas. La aplicación contiene un programa legítimo llamado DeFiWallet, que guarda y gestiona carteras de criptodivisas. Cuando se ejecuta, la aplicación deja caer un archivo malicioso junto al instalador de la aplicación legítima, lanzando el malware con una ruta de instalación troyanizada. Este malware generado sobrescribe entonces la aplicación legítima con la aplicación troyanizada.
El malware utilizado en este esquema de infección es un backdoor con todas las funciones necesarias para controlar los sistemas de la víctima de forma remota. Una vez que tiene el control del sistema, el ciberdelincuente puede eliminar archivos, recopilar información, conectarse a direcciones IP específicas y comunicarse con el servidor C2. Basándose en el historial de ataques de Lazarus, los analistas suponen que la motivación de esta campaña es el beneficio económico.
Tras examinar las funcionalidades de este backdoor, los analistas de Kaspersky han descubierto numerosas coincidencias con otras herramientas utilizadas por el grupo Lazarus, concretamente los clusters de malware CookieTime y ThreatNeedle. El esquema de infección en varias etapas también es muy utilizado en la infraestructura de Lazarus.
“Hemos observado el interés de Lazarus en la industria de las criptomonedas desde hace tiempo y hemos visto que han desarrollado métodos sofisticados para atraer a sus víctimas sin llamar la atención sobre el proceso de infección. Las industrias dedicadas a criptomonedas y blockchain siguen evolucionando y atrayendo mayores niveles de inversión. Por lo tanto, no sólo atraen a los estafadores y a los phishers, sino también a los «cazadores de caza mayor», incluidos los grupos de APT con motivación financiera. Con el mercado de las criptomonedas en crecimiento, creemos firmemente que el interés de Lazarus en la industria no disminuirá pronto. En una campaña reciente, Lazarus abusó de una aplicación legítima de DeFi imitándola y lanzando malware, lo cual es una táctica común utilizada en la caza de criptomonedas. Por ello, instamos a las empresas a que permanezcan atentas a los enlaces y archivos adjuntos de correo electrónico desconocidos, ya que bien podrían ser fraudulentos, aunque parezcan familiares y seguros», comenta Seongsu Park, analista principal de seguridad del Equipo de Investigación y Análisis Global de Kaspersky (GReAT).
Para evitar ser víctima de ataques dirigidos por actores de amenazas conocidos o desconocidos, los analistas de Kaspersky recomiendan aplicar las siguientes medidas:
- Realiza una auditoría de ciberseguridad y una monitorización constante de sus redes para reparar cualquier vulnerabilidad o elemento malicioso descubierto en el perímetro o dentro de la red.
- Proporciona al equipo una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.
- Educa a tus empleados para que descarguen programas y aplicaciones móviles sólo de fuentes de confianza y de tiendas de aplicaciones oficiales.
- Utiliza el producto EDR para permitir la detección oportuna de incidentes y la respuesta a las amenazas avanzadas.
- Adopta una solución antifraude que pueda proteger las transacciones de criptomonedas detectando y evitando el robo de cuentas, las transacciones desconocidas y el blanqueo de dinero.