McAfee descubre nuevo malware del Lazarus Group para posible robo de bitcoins

Investigadores de McAfee, la compañía software de ciberseguridad, han detectado una nueva serie de ataques cibernéticos provenientes la organización de hackers “Lazarus Group”, que se encuentran distribuyendo un malware dedicado a robar información y, probablemente, bitcoins.

Esto se supo en un reciente comunicado de McAfee, según el cual sus analistas de la oficina de Investigación de Amenazas Avanzadas (ATR, por sus siglas en inglés) descubrieron lo que parece ser una nueva campaña de robo de bitcoins por parte de Lazarus Group, la cual se titula HaoBao.

Esta campaña opera basándose en la sustitución de identidad (Phishing): los hackers se hacen pasar por un ente aparentemente confiable para engañar a los usuarios y lograr instalar un sofisticado malware con efectos a largo plazo. Específicamente, en este caso los hackers utilizan el phishing para enviar emails sobre reclutamiento de personal, con el fin de convencer a los usuarios de abrir enlaces o descargar archivos maliciosos que infecten sus computadoras. Y ahora este grupo se está enfocando en atacar a usuarios de criptomonedas y a organizaciones financieras.

Una vez infectada la computadora, este software malicioso ejecuta primero un escáner liviano, que reúne datos sobre los procesos y los usuarios del dispositivo, y luego va en busca de una clave de registro y una cartera de Bitcoin.  Si se detecta una cartera, entonces se instala un implante a largo plazo destinado a ganar persistencia en la máquina y, según los investigadores, probablemente en este proceso puedan robarse las claves privadas de la cartera, o, cuando menos, su contraseña, aunque esto último no ha sido probado.

Este modus operandi, los objetivos específicos del ataque y el tipo de código utilizado, hacen creer a McAfee que el Lazarus Group, enlazado a Corea del Norte y a quienes se responsabiliza también por el WannaCry, se prepara para realizar un sofisticado robo de criptomonedas nunca antes visto. Los analistas de ATR llegan a la siguiente conclusión:

En este último descubrimiento realizado por McAfee ATR, a pesar de una breve pausa en operaciones similares, el grupo Lazarus se dirige a criptodivisas y organizaciones financieras. Además, hemos observado un mayor uso de módulos de recopilación de datos limitados para identificar rápidamente objetivos para futuros ataques. Esta campaña está diseñada para identificar a aquellos que ejecutan software relacionado con Bitcoin a través de escaneos específicos del sistema.

Oficina de Investigación de Amenazas Avanzadas

Esta, por supuesto, no es la primera vez que Lazarus Group usa estas tácticas. Durante el año pasado este grupo hizo uso del phishing para atacar una serie de organizaciones de habla inglesa y coreana, con el fin de obtener datos importantes y dinero de sus víctimas. Sin embargo, aunque las herramientas de infección que han usado para HaoBao han sido usadas con anterioridad por este grupo de hackers, el malware que están usando parece ser algo totalmente nuevo.