Los piratas informáticos del grupo Lazarus atacan a los usuarios de macOS

Los investigadores han descubierto una serie de ataques de la organización Lazarus, que ataca los intercambios de criptomonedas distribuyendo malware a los usuarios de macOS. Según Kaspersky Lab, una red de plataformas de criptomonedas con sede en Asia fue infectada con el troyano Lazarus, lo que provocó la propagación de malware a computadoras con sistemas operativos Windows y macOS.

El equipo dice que el troyano, que anteriormente estaba asociado solo con virus informáticos de Windows, ahora está dirigido a usuarios de macOS para robar criptomonedas. Esta es la primera vez que Lazarus, que se cree que es un grupo delincuente norcoreano patrocinado por el estado, logra distribuir malware a computadoras Mac. Anteriormente, el grupo Lazarus atacó centros de investigación de Corea del Sur y otras organizaciones políticas utilizando vulnerabilidades de Windows sin parches. Aunque los estafadores simplemente han reescrito código antiguo para crear nuevos ataques, no deben subestimarse.

Los piratas informáticos ya han llevado a cabo varios ataques a intercambios de criptomonedas para robar monedas, incluido el uso de correos electrónicos de phishing infectados con malware que compromete las billeteras de los usuarios. Este esquema todavía funciona, pero los estafadores han ido más allá y ahora planean atacar las bolsas en masa, enviando un virus disfrazado de software legítimo que se puede descargar de Internet.

Los expertos en seguridad dijeron que un empleado de una de las bolsas descargó automáticamente una aplicación que ofrecía software para el comercio de criptomonedas. El sitio web y el software no parecían ser maliciosos. Sin embargo, el software contenía un módulo de actualización que recopila información básica de la PC y envía los datos al servidor de comando y control. Según los expertos, si los estafadores deciden que “vale la pena atacar una PC”, le enviarán una actualización de software. Esta "actualización", compatible con Windows y Mac, instala el troyano Fallchill, una antigua herramienta que Lazarus sacó de la papelera. El troyano se puede utilizar para robar información financiera y comprometer una billetera, así como para realizar tareas maliciosas adicionales.

La empresa a través de la cual se distribuye el malware tiene un certificado de desarrollador válido, por lo que es tan difícil identificar el software malicioso. Sin embargo, no se pudo identificar la organización que emitió el certificado...

“Nos dimos cuenta del interés por las criptomonedas a principios de 2017, cuando miembros de un grupo criminal instalaron en uno de nuestros servidores un software para la extracción oculta de la moneda Monero”, dijo Vitaly Kamlyuk, uno de los expertos del laboratorio. "Desde entonces, los estafadores han intentado atacar varias veces los intercambios de criptomonedas junto con las instituciones financieras tradicionales".

"El hecho de que desarrollaron malware para infectar a los usuarios de macOS además de a los usuarios de Windows, y muy probablemente incluso crearon una empresa y un producto de software falsos para poder distribuir este malware que los sistemas de seguridad no pueden detectar, significa que pretenden obtener grandes ganancias, y deberíamos esperar más ataques en el futuro cercano", dijo Kamluk.

Basado en materiales de zdnet.com