Según la empresa de ciberseguridad AlienVault, el autor de los documentos HWP infectados utilizados en ataques recientes a los intercambios es el grupo Lazarus, financiado por el gobierno de Corea del Norte.
Entre otros, el mayor intercambio de criptomonedas de Corea del Sur, Bithumb, se vio afectado por ataques de inyección de código malicioso en documentos HWP, donde los piratas informáticos robaron más de 30 millones de dólares en criptomonedas.
Se cree que el grupo Lazarus, o BlueNoroff, que robó 81 millones de dólares del Banco Central de Bangladesh en 2016, representa la amenaza más grave para los bancos y ahora, quizás, para las empresas de criptomonedas. El grupo Lazarus utilizó la vulnerabilidad ActiveX en ataques a empresas surcoreanas. Ahora, los piratas informáticos también están utilizando una serie de virus integrados en documentos HWP para atacar a los participantes en la reciente reunión financiera del G20.
AlienVault ha analizado tres documentos similares infectados con código malicioso Uno de ellos menciona una reunión del Grupo de Trabajo de Finanzas Internacionales del G20 destinado a coordinar políticas económicas entre países desarrollados.
Los archivos HWP están integrados con código malicioso que instala código de virus en el sistema atacado (por ejemplo, la versión de 32 bits de Manuscrypt, que ya descrito en detalle por otros investigadores de seguridad). También se utilizan currículums falsos infectados. Se cree que los archivos HWP infectados fueron utilizados por el grupo Lazarus a principios de mayo y junio para robar el intercambio Bithumb.
A las empresas de criptomonedas se les enviaron currículums falsos que eran sorprendentemente similares a los documentos utilizados para instalar el programa Manuscrypt.
“Aún no podemos estar seguros, pero sospechamos que este malware está relacionado con el robo de fondos del intercambio Bithumb”, señala AlienVault.
En el pasado se han enviado documentos infectados con HWP similares a usuarios de plataformas criptográficas en Corea del Sur.
Además, los investigadores notaron que los dominios asociados con el phishing de criptomonedas estaban registrados en el mismo número de teléfono que un dominio (itaddnet [.] Com) asociado con algún malware. Esto significa que los atacantes también roban credenciales y envían malware.
"Es extraño que Lazarus tenga un dominio registrado; normalmente el grupo prefiere comprometer los sitios web legítimos de otras personas. Por lo tanto, este sería un ataque inusual si realmente lo llevaran a cabo miembros de la pandilla Lazarus", dice AlienVault..
El grupo Lazarus bien podría haber pirateado el intercambio Bithumb a principios de este mes, dado que ya atacó el intercambio el año pasado, lo que probablemente le dio la información que necesitaba para hacerlo nuevamente. A lo largo del año, el grupo también atacó otros intercambios de criptomonedas.
"Es poco probable que los ataques de piratas informáticos del grupo Lazarus se detengan pronto, dado el volumen de fondos robados. El beneficio recibido del ataque al Banco Central de Bangladesh - casi mil millones de dólares estadounidenses - es el 3% del PIB de Corea del Norte. Robar fondos de organizaciones surcoreanas ayuda a Corea del Norte a debilitar a su competidor, vecino y rival ideológico más cercano", dijo AlienVault.
Basado en materiales de securityweek.com
Leer también
Robos de criptomonedas: ¿una llamada de atención?
El robo de criptomonedas es común. Desde MtGox hasta DAO, los hackeos de criptomonedas demuestran el axioma: si se puede robar, será robado.
Minería gris: ¿qué es?
Según los expertos en ciberseguridad, el número de personas que desean ganar dinero ilegalmente a expensas de otros no hará más que crecer. La minería ilegal o “gris” es un nuevo tipo de delito cibernético y es bastante seguro para los propios delincuentes. La realidad actual es tal que cada vez más personas intentan extraer minas, pero se trata de un proceso que consume mucha energía y que requiere equipos costosos. Por lo tanto, los mineros están ideando formas cada vez...
