El peligroso conjunto de ciberdelincuentes Lazarus ha atacado con insistencia a empresas relacionadas con el ámbito de las criptomonedas. Kaspersky ha
detectado que en un caso específico usaron un malware cambiado.
A mediados de octubre de dos mil diecinueve, conforme explica la compañía en un comunicado, los analistas de la compañía de ciberseguridad hallaron un documento
sospechoso subido a VirusTotal. El autor del malware usó documentos reclamo relacionados con el negocio de las criptomonedas.
En , se incluía un cuestionario sobre la adquisición de criptomonedas, una introducción a una moneda virtual en particular y lo mismo para una compañía
de minería de bitcoin. Esta fue la primera vez que entró en escena la campaña DeathNote, dirigida a personas y empresas relacionadas con las
criptomonedas en Chipre, Estados Unidos, Taiwán y Hong Kong.
En abril de dos mil veinte, Kaspersky observó un cambio significativo en los vectores de infección de DeathNote, centrándose en organizaciones dedicadas a la
automoción y de corte académico en Europa del Este, todas y cada una vinculadas a la industria de la defensa. Modificó documentos reclamo relacionados con
las descripciones del trabajo de contratistas de defensa y asimismo con la diplomacia. Además, realizó su cadena infecciosa a través de inyección de
código y software de visualización para ficheros PDF que ocultaba un troyano.
En mayo de dos mil veintiuno, Kaspersky ya observó que una compañía de TI europea dedicada a ofrecer soluciones para dispositivos de red y monitorización de
servidores se vio comprometida por DeathNote.
Además, a inicios de junio de dos mil veintiuno este subgrupo de Lazarus empezó a emplear un nuevo mecanismo para inficionar en Corea del Sur. Lo que llamó la
atención de los estudiosos fue que la etapa inicial del malware fue ejecutada por un software lícito que se usa de forma recurrente para la
seguridad en tal país.
La campaña en curso se advirtió por vez primera en el mes de julio de dos mil veintidos. Lazarus había ciberatacado de manera exitosa un contratista de defensa en África. Todo empezó
con la infección mediante una app de lectura de ficheros PDF recibida a través del messenger de Skype. Una vez ejecutado el lector de PDF, se creaba
un fichero lícito llamado ‘CameraSettingsUIHost.exe’ y otro malicioso llamado ‘DUI70.dll’ en exactamente el mismo directorio.
“Lazarus es un conjunto de ciberdelincuentes sin escrúpulos, mas muy cualificado. Nuestro análisis de DeathNote revela una veloz evolución en sus
Tácticas, Técnicas y Procedimientos (TTP) durante los años. Esta vez no se ha limitado a las criptomonedas, ha ido más allí. Despliega tanto
software lícito como malicioso para comprometer empresas del ámbito de la defensa. Su incesante evolución hace vital para las organizaciones
sostener la vigilancia y las medidas proactivas a fin de defenderse correctamente”, asegura Seongsu Park, analista primordial de
Seguridad GReAT de Kaspersky.
Para eludir padecer ciberataques de conjuntos tanto conocidos como no conocidos, los analistas de Kaspersky recomiendan:
- Realizar auditorías de ciberseguridad y monitorizaciones de red periódicamente para corregir fallos y descubrir debilidades o elementos
maliciosos. - Proporcionar a los profesionales formación de higiene en ciberseguridad. Muchos ataques son de tipo phishing o se sirven de técnicas de
ingeniería social. - Formar a la plantilla a fin de que descarguen software solamente de fuentes fiables y tiendas oficiales de aplicaciones.
- Utilizar una solución EDR para advertir y contestar a amenazas avanzadas en tiempo real, como Kaspersky Managed
Detection and Response. - Usar soluciones contra fraudes resguarda las transacciones con criptomonedas a través de la detección y prevención del hurto de cuentas, las
transacciones no verificadas y el lavado de dinero.
