Los presuntos hacjers de Corea del Norte bombardearon las instituciones financieras turcas y una organización gubernamental la semana del 26 de febrero buscando informacion para un futuro atraco
Los ataques del 2 y 3 de marzo, identificados por el investigador cibernético McAfee LLC en un informe del jueves, intentaron atraer a los objetivos con enlaces faux a una popular plataforma de criptomoneda, permitiendo a los piratas informáticos saquear información sensible sobre las redes informáticas violadas. El informe no identifica las entidades afectadas. No se tomó dinero.
"Lo que se ve aquí es el tipo de precursor del robo financiero", dijo Raj Samani, científico jefe de McAfee, quien describió el truco como "cubriendo el porro".
Dado que las sanciones económicas contra Corea del Norte se han endurecido durante el año pasado, muchos de sus ataques cibernéticos han buscado ganancias financieras, de acuerdo con los expertos en ciberseguridad. Corea del Norte ha sido sospechosa en redadas digitales de intercambios de criptomonedas en Corea del Sur el año pasado. Y los objetivos recientes han variado desde bancos globales a cajeros automáticos.
Lo que hace que los ataques turcos sean inusuales es la rapidez con que los hackers crearon software para explotar una debilidad recientemente revelada en Adobe Flash, utilizando el programa para implantar malware en las computadoras de las víctimas. También inusual: qué tan rápido los investigadores de McAfee desenterraron el esfuerzo.
La política de McAfee es no identificar oficialmente a las unidades cibernéticas del estado como culpables. Pero el informe del jueves dijo que el código malicioso se parece mucho al código usado en ataques de un operador de piratería vinculado a Corea del Norte -llamado Lazarus por muchos ciberinvestigadores- que fue culpado por el ataque WannaCry ransomware del año pasado y el hackeo de 2014 de Sony Pictures .
Los ataques del 2 y 4 de marzo, que McAfee llama el implante "Bankshot" -el malware se implanta en un archivo que infecta las computadoras- comprometieron varias computadoras en Turquía, dijo McAfee, y algunos indicios tempranos también sugieren que más organizaciones financieras en toda Europa se infectaron.
La campaña turca se basa en malware que apareció por primera vez el año pasado, pero fue modificado en las últimas semanas. Los archivos maliciosos se distribuyen mediante correos electrónicos que contienen documentos de Microsoft Word enmascarados como una plantilla de acuerdo para la distribución de bitcoin, dijo McAfee.
Para engañar a los objetivos turcos para que abran el archivo adjunto, los hackers enviaron los correos electrónicos desde una cuenta con el nombre de dominio falcancoin.io, un nombre similar al de una plataforma líder de criptomonedas, Falcon Coin.
La visualización del archivo descarga el malware en la computadora del destinatario, brindando acceso remoto a los hackers que pueden usar para cargar o descargar archivos o manipular sistemas internos que podrían permitir el robo financiero.
El documento de Microsoft Word tenía un archivo Adobe Flash incrustado que explotaba un problema por el cual se había distribuido un parche de software unas semanas antes. Los atacantes estaban apostando a que los usuarios no habían descargado esa actualización.
El ataque muestra la "militarización" de tales agujeros de software, dijo el Sr. Samani de McAfee.
Una vez que tienen acceso, los piratas informáticos también pueden robar información interna de la organización para utilizarla en enmascarar ataques posteriores. Incluso algo tan benigno como nombres de impresoras podría explotarse: los destinatarios podrían confiar más en los archivos adjuntos de correo electrónico que contengan el nombre de la impresora de su oficina, dijo Christiaan Beek, ingeniero principal sénior de McAfee.
Fecha actualización el 2021-03-08. Fecha publicación el 2018-03-08. Categoría: corea. Autor: Oscar olg Mapa del sitio Fuente: wsj