Grupo Lazarus lanza campaña maliciosa contra inversores en criptomonedas

Grupo Lazarus lanza campaña maliciosa contra inversores en criptomonedas

noviembre 1, 2024 Desactivado Por Redacción

El equipo de Investigación y Análisis Global de Kaspersky detectó en mayo de 2024 una sofisticada campaña de ataques cibernéticos dirigida a inversores en criptomonedas a nivel mundial, atribuida al grupo Lazarus, una Amenaza Persistente Avanzada (APT).

Los atacantes utilizaron un sitio web falso de un juego de criptomonedas que explotaba una vulnerabilidad de día cero en Google Chrome, permitiéndoles instalar spyware y robar credenciales de billeteras virtuales.

El análisis detallado realizado en la telemetría de Kaspersky Security Network reveló que el malware Manuscrypt, previamente usado por Lazarus desde 2013, fue la herramienta clave en esta campaña. Lazarus utilizó esta amenaza en más de 50 campañas documentadas, dirigidas a diversas industrias, y ahora apuntó a inversores en criptomonedas mediante un falso sitio de juegos.

Los investigadores de Kaspersky confirmaron que los atacantes explotaron dos vulnerabilidades en el motor de JavaScript V8 de Google Chrome. Una de estas vulnerabilidades, catalogada como CVE-2024-4947, permitía la ejecución de código arbitrario, eludiendo funciones de seguridad en el navegador. Esta vulnerabilidad de día cero, reportada por Kaspersky a Google, fue corregida posteriormente.

Los ciberdelincuentes diseñaron un juego falso de tanques NFT, promovido en redes sociales como X (anteriormente Twitter) y LinkedIn, con el objetivo de ganar la confianza de los usuarios. Lazarus se apoyó en inteligencia artificial generativa para crear cuentas falsas y contenido promocional que aumentara la credibilidad del juego, con lo cual maximizaban el alcance de la campaña maliciosa.

Además, los atacantes intentaron colaborar con influencers de criptomonedas, quienes, sin saberlo, ayudaron a difundir el juego falso entre sus seguidores. Esto, a su vez, facilitó el acceso a cuentas de criptomonedas de usuarios de alto perfil, amplificando la efectividad de la campaña.

Un especialista de Kaspersky, Boris Larin, explicó que la estrategia de los atacantes fue más allá de lo usual. Lazarus creó un juego completamente funcional como fachada, lo cual incrementaba el riesgo para los usuarios al hacer que simples interacciones en redes sociales pudieran comprometer por completo sistemas individuales o redes corporativas.

Poco después del lanzamiento de la campaña, los desarrolladores del juego legítimo afirmaron que experimentaron un robo de $20,000 dólares en criptomonedas desde su billetera. Los expertos de Kaspersky observaron que el juego falso creado por Lazarus tenía un diseño casi idéntico al original, variando solo en detalles menores como el logotipo y la calidad visual.

Dada la similitud entre ambos juegos, los investigadores de Kaspersky consideran que Lazarus replicó el juego legítimo utilizando código fuente robado, sustituyendo logotipos y referencias para hacer que su versión pareciera auténtica. Este nivel de detalle reforzó la credibilidad del sitio falso, que sirvió como anzuelo para atraer víctimas en todo el mundo.

Finalmente, Kaspersky advirtió sobre la posibilidad de que este tipo de ataques continúe evolucionando. La integración de inteligencia artificial en las operaciones de Lazarus indica que los ciberdelincuentes explorarán estrategias aún más avanzadas para dirigirse a las plataformas de criptomonedas y sus usuarios en el futuro.

83