Nueva campaña de criptorrobo busca caza mayor
Está en marcha una nueva campaña que apunta no a las billeteras criptográficas de los individuos, sino a las billeteras de organizaciones más grandes. El nuevo impulso malicioso recibió el sobrenombre de SnatchCrypto y se cree que está respaldado por fondos estatales de Corea del Norte.
Según los investigadores de seguridad que revelaron la campaña SnatchCrypto, la entidad detrás de todo parece ser una rama de Lazarus APT, respaldada por Corea del Norte, llamada BlueNoroff. Lazarus es la entidad matriz más grande que ha aparecido en los titulares varias veces en los últimos años. Los operadores de Lazarus se especializan en golpear instituciones y plataformas financieras, por lo que no es de extrañar que también estén involucrados en SnatchCrypto.
Hasta ahora, BlueNoroff ha realizado múltiples ataques contra organizaciones conectadas a la criptomoneda en general. Lo que los investigadores notaron es que BlueNoroff APT toma mucho tiempo y se prepara con mucho cuidado cuando se acerca a sus víctimas y probablemente usa una combinación de ingeniería social y correspondencia comercial falsa pero creíble para ganarse la confianza de algunos de los miembros de sus víctimas.
ZDNet citó a los investigadores que publicaron un artículo sobre BlueNoroff, afirmando que llegan a identificar "temas de interés" dentro de la organización objetivo y luego envían documentos y archivos maliciosos estrechamente relacionados con el tema de discusión interna de la empresa. Este es un nivel de dedicación y precisión que pocos APT pueden mostrar.
Los ataques empleados por BlueNoroff emplean una vulnerabilidad de ejecución remota de código para obtener la carga útil de un servidor. Los privilegios de acceso al sistema se escalan antes de que se implemente la carga útil principal.
Un dato muy interesante que hace BlueNoroff en su ataque es que tienen una macro de VisualBasic que se utiliza para eliminar el enlace a la carga útil maliciosa almacenada en el documento original utilizado para iniciar el ataque. Esto significa que el archivo está, para todos los efectos, limpio y seguro, lo que crea más complicaciones para los investigadores de seguridad.
El ataque termina con el despliegue de una herramienta de puerta trasera hecha a medida que monitorea el sistema host e intenta interceptarlo e interponerse cuando detecta una transacción de criptomonedas.
Según las estadísticas recopiladas por los investigadores de seguridad con Chainalysis, en el transcurso de 2021, los actores de amenazas de Corea del Norte lograron robar la asombrosa cantidad de USD 400 millones en criptomonedas.
