Kaspersky revela que hackers de Lazarus han modificado su malware de robo de criptomonedas

155

La firma de seguridad informática Kaspersky reveló que el grupo de hackers norcoreanos conocidos como Lazarus habría duplicado sus esfuerzos para infectar las computadoras de los usuarios de Mac y Windows a través del despliegue de nuevos virus para robar criptomonedas, así como la utilización de una interfaz de comercio de criptoactivos de código abierto modificada llamada ‘QtBitcoinTrader’ para entregar y ejecutar código malicioso en lo que se ha llamado Operación AppleJeus.

Kaspersky identificó un nuevo virus macOS y Windows llamado ‘UnionCryptoTrader’, que se basa en versiones detectadas previamente. Otro nuevo malware, dirigido a usuarios de Mac, se llama ‘MarkMakingBot’. La firma de seguridad cibernética señaló que Lazarus había estado ajustando este último y especula que es una etapa intermedia en cambios significativos en su malware de macOS.

Los investigadores también encontraron máquinas con Windows que se infectaron a través de un archivo malicioso llamado ‘WFCUpdater’, pero no pudieron identificar el instalador inicial. Kaspersky dijo que la infección comenzó con el malware .NET disfrazado como un actualizador de billetera WFC y distribuido a través de un sitio web falso.

El malware infectó las PC en varias etapas antes de ejecutar los comandos del grupo e instalar permanentemente la carga explosiva.


Lea también: COREA DEL NORTE DICE NO ESTAR DETRÁS DE ATAQUES A EXCHANGES DE CRIPTOACTIVOS


Por si eso fuera poco, se descubrió que las versiones de Windows de ‘UnionCryptoTrader’ se ejecutan desde la carpeta de descargas de Telegram, lo que lleva a los investigadores a creer que el actor entregó el instalador manipulado utilizando el mensajero de Telegram.

Creemos que es poco probable que los ataques continuos del grupo Lazarus para obtener ganancias financieras se detengan pronto. Suponemos que este tipo de ataque a las empresas de criptomonedas continuará y se volverá más sofisticado”, sentenció Kaspersky.

(Con información de CoinTelegraph)

Los comentarios están cerrados.