Descubren campaña de malware dirigida a exchanges en Asia

Se trata del primer caso en que los investigadores de Kaspersky Lab observan a los hackers de Lazarus distribuyendo malware entre usuarios de macOS.

80

Los siempre activos investigadores de seguridad informática de la firma Kaspersky Labs han descubierto una nueva campaña de malware operada desde Corea del Norte y dirigida a las exchange de criptomonedas en Asia. En concreto, se trata de los hackers de Lazarus Group, quienes están distribuyendo un nuevo malware con el objetivo de robar sus fondos.

Esta campaña ha sido bautizada como AppleJeus, y surgió por primera vez en un ataque informático contra un exchange de criptomonedas con sede en Asia. Los hackers de Lazarus penetraron la red de esta compañía a través de un troyano para el sistema Windows. Sin embargo, ahora los investigadores identificaron una versión desconocida del malware dirigido a la plataforma de macOS.

Así las cosas, se trata del primer caso en que los investigadores de Kaspersky Lab observan a los hackers de Lazarus distribuyendo malware entre usuarios de macOS, representando un llamado de atención para todos los que usan este sistema operativo con fines relacionados con criptomonedas.

Según los expertos, la penetración en la red de la exchange comenzó cuando un empleado desprevenido de la compañía descargó una app de terceros de un sitio web que lucía como legítimo de una empresa que desarrolla software para el comercio de criptomonedas. El código de esta app no era malicioso, sin embargo, su actualizador si lo era.

En el caso del software legítimo, los actualizadores se usan para descargar nuevas versiones de programas informáticos. En el caso de AppleJeus, actúa como un módulo de reconocimiento, recopilando primero información básica del ordenador donde se ha instalado, y posteriormente enviando esta información al servidor de comando y control de los hackers.

Ahora bien, si los hackers deciden que el ordenador es fácil de atacar, el código malicioso volverá en forma de actualización de software al usuario, instalando un troyano conocido como Fallchill, una herramienta conocida del grupo Lazarus. Precisamente esta fue la pista que usaron los investigadores para determinar que fueron los hackers norcoreanos los autores de la operación.

Los comentarios están cerrados.