Un nuevo informe muestra que Lazarus Group, vinculado a Corea del Norte, ha adaptado y desarrollado nuevas técnicas desde los ataques iniciales, y está utilizando plataformas comerciales falsas que se unen a los canales de Telegram. que distribuyen malware, además de hacer que su malware sea más sigiloso al "agregar un mecanismo de autenticación en macOS", entre otras tácticas. Desde la infame campaña anterior del grupo, 'Operación Applejeus', las víctimas han seguido perdiendo bitcoins por las estafas, y el informe ayuda a identificar formas en que los usuarios pueden evitar caer en las trampas.
Lea también: Los problemas se intensifican en Venezuela como Millions Rush to Spend Petros
Operación Applejeus, la secuela
Un nuevo informe del grupo de ciberseguridad Kaspersky revela que el infame grupo de hackers Lazarus, se dice que está vinculado a la región de Pyongyang en Corea del Norte y supuestamente responsable de más de $ 570 millones en hacks de intercambio en los últimos años, ha evolucionado sus métodos. Mediante el uso de sitios de intercambio falsos, grupos de Telegram, "malware de macOS casero" y "un procedimiento de infección de varias etapas", el grupo ataca a víctimas desprevenidas, toma el control como en el primer Applejeus, pero ahora los libera de sus bitcoins de una manera más compleja.
El informe detalla: “Al rastrear esta campaña, identificamos malware macOS más deformado. En ese momento, el atacante llamó a su sitio web falso y aplicación JMTTrading. Otros investigadores y proveedores de seguridad también lo encontraron y publicaron IoC con abundantes detalles técnicos. ”
Metodología y cómo mantenerse a salvo
Si bien muchos de los sitios de estafas detectados y los grupos de Telegram parecen ahora inactivos, Kaspersky señala: “Pudimos identificar varias víctimas en esta secuela de la Operación AppleJeus. Las víctimas fueron registradas en el Reino Unido, Polonia, Rusia y China. Además, pudimos confirmar que varias de las víctimas están vinculadas a entidades comerciales de criptomonedas.
Especulamos que el actor utilizó plantillas web gratuitas como esta para construir sus sitios web falsos. Además, hay una dirección de Telegram ( @cyptian ) en el sitio web de Cyptian. Como mencionamos anteriormente, el actor entregó una aplicación manipulada a través de Telegram messenger.
En algunos casos, Kaspersky sospecha que el malware se entregó a través de un grupo de Telegram conectado a un sitio web falso. En otros, se cree que los enlaces en sitios falsos son la vía por la cual los errores ahora más adaptados y más complejos de Mac y Windows entran en un sistema. El medio de ataque actualizado parece utilizar múltiples cargas útiles en protocolos altamente personalizados diseñados cuidadosamente para evadir la detección.
"Para atacar a los usuarios de macOS, el grupo Lazarus ha desarrollado malware macOS casero y ha agregado un mecanismo de autenticación para entregar la carga útil de la siguiente etapa con mucho cuidado, así como cargar la carga útil de la siguiente etapa sin tocar el disco ", detalla el informe.
“Además, para atacar a los usuarios de Windows, han elaborado un procedimiento de infección en varias etapas y firman cambió significativamente la carga útil final. Evaluamos que el grupo Lazarus ha sido más cuidadoso en sus ataques después del lanzamiento de la Operación AppleJeus y han empleado una serie de métodos para evitar ser detectados ".
Aunque estos sitios de estafa han sido descubiertos, sin duda existen muchos más y usuarios haría bien en tomar precauciones cuando se trata de un nuevo grupo. Como siempre en el espacio crypto : no confíes, verifica. Si un sitio web o un grupo de Telegram parece sospechoso y tiene una URL extraña, varios enlaces no funcionales, errores ortográficos, etc., es mejor no confiar en él y, por supuesto, nunca descargar nada antes de investigar más.
¿Qué piensa sobre Lázaro y las estafas relacionadas? Háganos saber en la sección de comentarios.
Créditos de imagen: Shutterstock, uso justo.
¿Desea crear su propia billetera segura de papel para almacenamiento en frío? Consulte nuestra sección herramientas . También puede disfrutar de la forma más fácil de comprar Bitcoin en línea con nosotros. Descargue su billetera gratuita de Bitcoin y diríjase a nuestra página de compra de Bitcoin donde puede comprar BCH y BTC de forma segura.
[DISPLAY_ULTIMATE_PLUS]
Referencia: https://news.bitcoin.com/hacker-group-lazarus-uses-fake-exchanges-telegram-groups-in-latest-malware-attacks/