1
El grupo Lazarus, administrado por el estado norcoreano, está llevando a cabo una nueva campaña conocida como “Mach-O Man” que convierte la comunicación empresarial rutinaria en un camino directo hacia el robo de credenciales y la pérdida de datos, advirtieron expertos en seguridad el miércoles.
La colectividad, con un botín acumulado estimado en 6.700 millones de dólares desde 2017, está orientado a ejecutivos y empresas de alto valor en los sectores de fintech, criptomonedas y otros, dijo Natalie Newson, investigadora senior en seguridad blockchain de CertiK, a CoinDesk el miércoles.
En las últimas dos semanas solamente, los hackers norcoreanos han desviado más de 500 millones de dólares de las explotaciones de Drift y KelpDAO en lo que parece ser una campaña sostenida. La industria cripto necesita comenzar a ver a Lazarus de la misma manera que los bancos ven a los actores cibernéticos estatales: “como una amenaza constante y bien financiada, no solo otro titular de noticias,” afirmó.
"Lo que hace que Lazarus sea especialmente peligroso en este momento es su nivel de actividad,” dijo Newson. “KelpDAO, Drift y ahora un nuevo kit de malware para macOS, todo dentro del mismo mes. Esto no es un hackeo aleatorio; es una operación financiera dirigida por el Estado que se lleva a cabo a una escala y velocidad típicas de las instituciones.”
Corea del Norte ha convertido el robo de criptomonedas en una industria nacional lucrativa, y Mach-O Man es solo el último producto de ese proceso, señaló. Mientras que Lazarus lo creó, otros grupos de ciberdelincuencia también lo están utilizando.
“Es un kit modular de malware para macOS creado por la infame división Chollima del Grupo Lazarus. Utiliza binarios nativos Mach-O adaptados para entornos Apple donde operan la criptomoneda y fintech,” afirmó.
Newson afirmó que Mach-O Man utiliza un método de entrega conocido como ClickFix. “Es importante ser claros porque mucha cobertura está confundiendo dos cosas distintas,” señaló. ClickFix es una técnica de ingeniería social en la que se le pide a la víctima que pegue un comando en su terminal para solucionar un problema de conexión simulado.
Funciona mediante el envío por parte de Lazarus a los ejecutivos de una invitación “urgente” a una reunión vía Telegram para una llamada por Zoom, Microsoft Teams o Google Meet, según Mauro Eldritch, un experto en seguridad y fundador de la firma de inteligencia de amenazas BCA Ltd.
El enlace conduce a un sitio web falso, pero convincente, que les instruye a copiar y pegar un comando simple en el terminal de su Mac para "arreglar un problema de conexión." Al hacerlo, las víctimas proporcionan acceso inmediato a sistemas corporativos, plataformas SaaS y recursos financieros. Para cuando descubren que fueron explotados, por lo general ya es demasiado tarde.
Hay varias variantes de este ataque, el investigador de amenazas de seguridad Vladimir S. dijo en X. Ya existen casos donde los atacantes de Lazarus han secuestrado los dominios de proyectos de finanzas descentralizadas (DeFI) con este nuevo malware, reemplazando sus sitios web con un mensaje falso de Cloudflare, pidiéndoles que ingresen un comando para otorgar acceso.
Estos falsos 'pasos de verificación' guían a las víctimas a través de atajos de teclado que ejecutan un comando dañino", dijo Newson de Certik. "La página parece real, las instrucciones parecen normales, y la víctima inicia la acción por sí misma, por lo que los controles de seguridad tradicionales a menudo no lo detectan.
La mayoría de las víctimas de este hackeo no se darán cuenta de que su seguridad ha sido vulnerada hasta que el daño ya esté hecho, momento en el cual el malware ya se habrá autodestruido.
“Probablemente aún no lo sepan," dijo ella. "Si lo saben, probablemente no puedan identificar qué variante los afectó.”
diariobitcoin.com
criptonoticias.com