El conjunto de piratas informáticos de Corea del Norte ha distribuido un nuevo género de malware mediante un programa de descarga, con la pretensión de comprometer un exchange de criptomonedas.
Los analistas de Elastic Security Labs, una compañía de ciberseguridad, han descubierto un nuevo género de malware que los piratas informáticos del Lazarus Group procuraron emplear para comprometer un exchange de criptomonedas, cuyo nombre no se ha concretado. Los analistas han bautizado al nuevo virus como Kandykorn.
El ataque empezó cuando los atacantes emplearon métodos de ingeniería social, estableciendo contacto con los desarrolladores de la plataforma de intercambio mediante Discord. Consiguieron persuadir a los representantes del exchange a fin de que probasen la funcionalidad de un nuevo bot de arbitraje rentable que aparentemente habían desarrollado.
Así, los piratas informáticos lograron persuadir al equipo del exchange de criptomonedas a fin de que descargasen un fichero ZIP con archivos para instalar el programa, que contenía un fichero malicioso aparte de los habituales archivos del bot de arbitraje. Tras empezar el programa, este fichero establecía una conexión con una cuenta recóndita de Google Drive y dejaba a los piratas informáticos descargar un downloader concreto, que los analistas de Elastic llamaron Sugarloader. Una vez descargado, se suprimían todos los otros ficheros maliciosos.
Sugarloader deja a los piratas informáticos evitar la mayor parte del software de detección de malware. Los analistas de Elastic aseveran que el detector del servicio VirusTotal no identificó Sugarloader como fichero malicioso. El equipo solo pudo advertirlo deteniendo el programa tras llamar a funciones de inicialización y tomando una instantánea de la memoria virtual del procesador.
Fue Sugarloader lo que dejó a los ciberdelincuentes del conjunto Lazarus conectarse a un servidor recóndito y descargar Kandykorn de forma directa en la memoria del dispositivo. El nuevo virus contiene muchas peculiaridades que dan a los piratas informáticos un acceso prácticamente ilimitado al computador inficionado. Los atacantes pueden descargar silenciosamente ficheros de un servidor recóndito, como borrar o substituir ficheros del disco.
Los analistas de Elastic piensan que los piratas informáticos emplearon Kandykorn en el mes de abril de dos mil veintitres y que el malware aún se halla en el servidor del exchange de criptomonedas.
Como recordatorio, los ciberdelincuentes vinculados a Corea del Norte robaron cerca de tres mil quinientos cuarenta millones de dólares estadounidenses en criptomonedas en los últimos 8 años, estando tras uno de cada 3 ataques a criptoproyectos. CoinsPaid pudo descubrir de qué forma Lazarus Group hackeó y blanqueó los activos robados, al paso que el CEO de Match Systems reveló de qué forma se realizan las investigaciones de hacking en el espacio Web3.
