Según la empresa de ciberseguridad AlienVault, el autor de los documentos HWP infectados utilizados en ataques recientes a los intercambios es el grupo Lazarus, financiado por el gobierno de Corea del Norte.
Entre otros, el mayor intercambio de criptomonedas de Corea del Sur, Bithumb, se vio afectado por ataques de inyección de código malicioso en documentos HWP, donde los piratas informáticos robaron más de 30 millones de dólares en criptomonedas.
Se cree que el grupo Lazarus, o BlueNoroff, que robó 81 millones de dólares del Banco Central de Bangladesh en 2016, representa la amenaza más grave para los bancos y ahora, quizás, para las empresas de criptomonedas. El grupo Lazarus utilizó la vulnerabilidad ActiveX en ataques a empresas surcoreanas. Ahora, los piratas informáticos también están utilizando una serie de virus integrados en documentos HWP para atacar a los participantes en la reciente reunión financiera del G20.
AlienVault ha analizado tres documentos similares infectados con código malicioso Uno de ellos menciona una reunión del Grupo de Trabajo de Finanzas Internacionales del G20 destinado a coordinar políticas económicas entre países desarrollados.
Los archivos HWP están integrados con código malicioso que instala código de virus en el sistema atacado (por ejemplo, la versión de 32 bits de Manuscrypt, que ya descrito en detalle por otros investigadores de seguridad). También se utilizan currículums falsos infectados. Se cree que los archivos HWP infectados fueron utilizados por el grupo Lazarus a principios de mayo y junio para robar el intercambio Bithumb.
A las empresas de criptomonedas se les enviaron currículums falsos que eran sorprendentemente similares a los documentos utilizados para instalar el programa Manuscrypt.
“Aún no podemos estar seguros, pero sospechamos que este malware está relacionado con el robo de fondos del intercambio Bithumb”, señala AlienVault.
En el pasado se han enviado documentos infectados con HWP similares a usuarios de plataformas criptográficas en Corea del Sur.
Además, los investigadores notaron que los dominios asociados con el phishing de criptomonedas estaban registrados en el mismo número de teléfono que un dominio (itaddnet [.] Com) asociado con algún malware. Esto significa que los atacantes también roban credenciales y envían malware.
"Es extraño que Lazarus tenga un dominio registrado; normalmente el grupo prefiere comprometer los sitios web legítimos de otras personas. Por lo tanto, este sería un ataque inusual si realmente lo llevaran a cabo miembros de la pandilla Lazarus", dice AlienVault..
El grupo Lazarus bien podría haber pirateado el intercambio Bithumb a principios de este mes, dado que ya atacó el intercambio el año pasado, lo que probablemente le dio la información que necesitaba para hacerlo nuevamente. A lo largo del año, el grupo también atacó otros intercambios de criptomonedas.
"Es poco probable que los ataques de piratas informáticos del grupo Lazarus se detengan pronto, dado el volumen de fondos robados. El beneficio recibido del ataque al Banco Central de Bangladesh - casi mil millones de dólares estadounidenses - es el 3% del PIB de Corea del Norte. Robar fondos de organizaciones surcoreanas ayuda a Corea del Norte a debilitar a su competidor, vecino y rival ideológico más cercano", dijo AlienVault.
Basado en materiales de securityweek.com
Leer también
Mozilla Firefox bloqueará automáticamente los scripts de minería de criptomonedas
En un esfuerzo por mejorar el rendimiento y proteger a sus usuarios, el navegador de código abierto Mozilla Firefox pronto comenzará a bloquear automáticamente scripts maliciosos de minería de criptomonedas.
Group-IB confía en que aumentará el número de hacks en plataformas criptográficas
Según un informe publicado por una empresa rusa de ciberseguridad, en los últimos dos años se han robado 882 millones de dólares de los intercambios de criptomonedas.
