Investigadores de seguridad informática han descubierto una nueva campaña de malware operada desde Corea del Norte y dirigida a las exchange de criptomonedas en Asia. En concreto, se trata de los hackers de Lazarus Group, quienes están distribuyendo un nuevo malware con el objetivo de robar sus fondos.
Según la firma rusa Kaspersky Labs, la campaña de malware fue bautizada como AppleJeus, y surgió por primera vez en un ataque informático contra un exchange de criptomonedas con sede en Asia. Los hackers de Lazarus penetraron la red de esta compañía a través de un troyano para el sistema Windows, sin embargo, los investigadores identificaron una versión desconocida del malware dirigido a la plataforma de macOS.
Se trata del primer caso en que los investigadores de Kaspersky Lab observan a los hackers de Lazarus distribuyendo malware entre usuarios de macOS, lo que representa a su vez un llamado de atención para todos los que usan este sistema operativo con fines relacionados con criptomonedas.
Con base en el análisis de los investigadores, la penetración en la red de la exchange comenzó cuando un empleado desprevenido de la compañía descargó una app de terceros de un sitio web que lucía como legítimo de una empresa que desarrolla software para el comercio de criptomonedas.
El código de esta app no era malicioso, sin embargo, su actualizador si lo era. En el caso del software legítimo, los actualizadores se usan para descargar nuevas versiones de programas informáticos. En el caso de AppleJeus, actúa como un módulo de reconocimiento, recopilando primero información básica del ordenador donde se ha instalado, y posteriormente enviando esta información al servidor de comando y control de los hackers.
Ahora bien, si los hackers deciden que el ordenador es fácil de atacar, el código malicioso volverá en forma de actualización de software al usuario, instalando un troyano conocido como Fallchill, una herramienta conocida del grupo Lazarus. Precisamente esta fue la pista que usaron los investigadores para determinar que fueron los hackers norcoreanos los autores de la operación.
Finalmente, los expertos de Kaspersky recomiendan a los usuarios protegerse de estos ataques de la siguiente forma:
- No confiar en cualquier código que se ejecute en tu sistema, ni en sitios web que luzcan auténticos, ni en perfiles que parezcan confiables.
- Utiliza un software de seguridad robusto, equipado con detección de comportamiento malicioso en el sistema.
- Suscríbete a un servicio de informes de inteligencia de amenazas de alta calidad, en caso de que tu software cuente con ello.
- Utiliza autenticación de múltiples factores y carteras de hardware para transacciones financieras importantes.