Lazarus implementa su primer Malware mac en Cryptocurrency Exchange Hack
Piratas informáticos norcoreanos Lazarus que han pirateado Sony Films hace unos años han implementado su primer malware para Mac, según el proveedor ruso de antivirus Kaspersky Lab.
Los investigadores de Kaspersky revelan que Lazarus Group penetró en los sistemas de TI de una plataforma de intercambio de criptomonedas con sede en Asia.
"La empresa fue violada con éxito, pero no estamos al tanto de ninguna pérdida financiera", dijo Vitaly Kamluk, director de GReAT APAC en Kaspersky Lab, a Bleeping Computer por correo electrónico hoy. "Suponemos que la amenaza fue contenida en base a nuestra notificación".
Intercambio pirateado después de que los empleados descarguen la aplicación trojanizada
El hackeo, analizado por Kaspersky Lab bajo el nombre en clave de Operation AppleJeus, tuvo lugar después de que uno de los empleados del intercambio descargó una aplicación de un sitio web de aspecto legítimo que afirmaba pertenecer a una empresa que desarrolla software de comercio de criptomonedas.
Pero la aplicación era falsa e infectada con malware. En Windows, la aplicación descargó e infectó usuarios con Fallchill, un troyano de acceso remoto (RAT) conocido por estar asociado con el Grupo Lazarus desde al menos 2016, cuando se implementó por primera vez en campañas en vivo.
Pero a diferencia de las operaciones anteriores de Lazarus, los hackers también implementaron una cepa de malware Mac, algo que no habían hecho antes. El malware estaba oculto dentro de la versión Mac del mismo software de comercio de criptomonedas.
Los expertos dicen que tanto el malware de Windows como el de Mac no eran visibles dentro de la aplicación contaminada. Los operadores de Lazarus no integraron el malware dentro de la aplicación de terceros directamente, sino que simplemente modificaron su componente de actualización para descargar el malware en una fecha posterior.
El misterio del certificado de malware
Además, el software de comercio de criptomonedas Trojanized también fue firmado por un certificado digital válido, lo que le permite eludir escaneos de seguridad.
El gran misterio que rodea a este certificado es que fue emitido por una empresa que los expertos de Kaspersky dijeron que no pudieron probar que alguna vez existió en la dirección en la información del certificado.
"El hecho de que desarrollaron malware para infectar usuarios de macOS además de usuarios de Windows y, muy probablemente, incluso crearon una compañía de software y un producto de software totalmente falsos para poder entregar este malware no detectado por soluciones de seguridad, significa que ven potencialmente grandes ganancias en toda la operación, y definitivamente deberíamos esperar más casos similares en el futuro cercano ", dice Kamluk.
Varias empresas de ciberseguridad han señalado muchas veces este año que, desde principios de 2017, los piratas informáticos de Corea del Norte han mostrado un gran interés en penetrar los intercambios de criptomonedas y las instituciones financieras, desde donde roban fondos que luego traen a Corea del Norte.
El año 2017, varias plataformas asiáticas de intercambio de criptomonedas sufrieron incidentes de seguridad, principalmente plataformas de intercambio ubicadas en Corea del Sur. Se han reportado hacks en Bithumb , Yapizon , YouBit , Coinrail y Bithumb nuevamente.
Esta semana, la firma estadounidense de seguridad cibernética Trend Micro informó sobre un ataque de cadena de suministro a organizaciones surcoreanas , pero no atribuyó el pirateo a Corea del Norte, ni especificó que el hack apuntaba a una plataforma de intercambio de criptomonedas.
"Estamos al tanto de las oleadas de ataques a las cadenas de suministro en Corea del Sur este año, pero AppleJeus no está relacionado con estos ataques", dijo Kamluk a Bleeping Computer. "La víctima no estaba ubicada en Corea del Sur".