Owned Cat Swat

El grupo de ciberdelincuentes Lazarus, financiados por Corea del Norte, ha adoptado nuevas tácticas para hacerse con criptomonedas de forma ilícita. Así lo informó Kaspersky Lab este 26 de marzo.

Aparentemente, la organización ha estado utilizando scripts personalizados de PowerShell que interactúan con servidores maliciosos C2 y ejecutan comandos desde el operador, lo que les permite atacar tanto sistemas Windows como MacOS.

Kaspersky Lab descubrió esta estrategia en noviembre del año pasado, “que utiliza PowerShell para controlar los sistemas de Windows y el malware macOS para los usuarios de Apple”. Sin embargo, en los últimos días parecen haber evolucionado para evitar las detecciones.

Y es que, según el informe, los nombres de las secuencias de comandos del servidor C2 se tergiversan como archivos de WordPress y otros proyectos de código abierto. Una vez que se crea la sesión de control de malware con el servidor, el malware está listo para descargar y cargar archivos, actualizar la configuración de malware y recopilar información básica del host, entre otros.

El grupo de ciberseguridad señala que los hackers siguen teniendo como principal objetivo los sistemas involucrados en las industrias de criptomoneda y fintech, y aconsejó a los jugadores de esos sectores que tengan cuidado. “Si es parte de la floreciente industria de las criptomonedas o de las startups tecnolgicas, tenga mucho cuidado al tratar con nuevos terceros o al instalar software en sus sistemas y nunca […] habilitar contenido (macro scripting) en los documentos de Microsoft Office recibidos de fuentes nuevas o no confiables …“, reza el informe.

El grupo Lazarus ganó notoriedad luego de que en el 2017 consiguiera amasar hasta 571 millones de dólares en criptomonedas para financiar el régimen norcoreano. También se han visto involucrados en varios fraudes con altcoin y lavado de dinero. Además, el gobierno de Israel ha reportado ataques a sus instituciones públicas y sistemas de defensas, presuntamente dirigidos por el grupo de ciberdelincuentes.