Microsoft y la empresa de ciberseguridad Volexity han rastreado una nueva versión del malware AppleJeus hasta los hackers responsables del exploit del Ronin Bridge y otros numerosos robos en línea.
Microsoft informa de que se ha identificado una amenaza dirigida a empresas de inversión en criptomoneda. Una parte que Microsoft ha bautizado como DEV-0139 se hizo pasar por una empresa de inversión en criptomoneda en Telegram y utilizó un archivo de Excel adulterado con un malware “bien elaborado” para infectar sistemas a los que luego accedió de forma remota.
La amenaza forma parte de una tendencia de ataques que muestran un alto nivel de sofisticación. En este caso, el interprete de la amenaza, identificándose falsamente con perfiles falsos de empleados de OKX, se unió a grupos de Telegram “utilizados para facilitar la comunicación entre clientes VIP y exchanges de criptomonedas”, escribió Microsoft en una entrada de blog del 6 de diciembre. Microsoft explicó: Microsoft explicó:
“Estamos […] viendo ataques más complejos en los que el autor de la amenaza muestra un gran conocimiento y preparación, tomando medidas para ganarse la confianza de su objetivo antes de desplegar los archivos infectados”.
En octubre, se invitó a la víctima a unirse a un nuevo grupo y luego se le pidieron comentarios sobre un documento de Excel que comparaba las estructuras de comisiones VIP de OKX, Binance y Huobi. El documento proporcionaba información precisa y un alto grado de concienciación sobre la realidad del comercio de criptomonedas, pero también cargaba de forma invisible un archivo .dll (Dynamic Link Library) malicioso para crear una puerta trasera en el sistema del usuario. Luego, se le pedía a la víctima que abriera él mismo el archivo .dll durante el transcurso de la conversación sobre las comisiones.
La técnica de ataque en sí se conoce desde hace tiempo. Microsoft sugirió que el autor de la amenaza era el mismo que se descubrió en junio utilizando archivos .dll con fines similares y que probablemente también estaba detrás de otros incidentes. Según Microsoft, DEV-0139 es el mismo actor que la empresa de ciberseguridad Volexity relacionó con el colectivo estatal norcoreano Lazarus Group, utilizando una variante de malware conocida como AppleJeus y un instalador MSI (Microsoft installer). La Agencia Federal de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos documentó AppleJeus en 2021, y Kaspersky Labs informó sobre él en 2020.
El Departamento del Tesoro de Estados Unidos ha relacionado oficialmente a Lazarus Grouo con el programa de armas nucleares de Corea del Norte.
