El infame grupo Lazarus de Corea del Norte utiliza un sitio web de juegos falso bien diseñado, un error de día cero de Chrome ahora solucionado, cuentas profesionales de LinkedIn, imágenes generadas por IA y otros trucos para intentar robar usuarios de criptomonedas en todo el mundo.
El grupo parece haber lanzado esta elaborada campaña en febrero y desde entonces ha utilizado varias cuentas en
campaña elaborada
“A lo largo de los años, hemos descubierto muchas [Lazarus] ataques contra el sector de las criptomonedas, y una cosa es segura: estos ataques no van a desaparecer”, dijo investigadores de Kasperskydespués de descubrir la última campaña mientras investigaba una infección de malware reciente. “Lazarus ya ha comenzado a utilizar con éxito la IA generativa y anticipamos que creará ataques aún más elaborados con ella”, señaló el proveedor de seguridad.
Puede que el Grupo Lazarus, patrocinado por el estado, aún no sea un nombre completamente reconocible, pero se encuentra fácilmente entre los actores de ciberamenazas más prolíficos y peligrosos que operan. Desde que apareció en los titulares con un ataque a Sony Fotos en 2014, Lazarus – y subgrupos como andariel Y Bleunoroff – tener aparecido en innumerables incidentes de seguridad de alto perfil. Estos incluyeron el WannaCry ransomware epidemia, el robo de 81 millones de dólares en Banco de Bangladeshy trata de robando secretos de la vacuna COVID de las principales empresas farmacéuticas en el punto álgido de la pandemia.
Los analistas creen que muchos de los ataques con motivación financiera del grupo, incluidos aquellos que involucran ransomware, operaciones de robo de tarjetas y usuarios de criptomonedas, en realidad son tratando de generar ingresos para el programa de misiles del gobierno de Corea del Norte, que tiene problemas de liquidez.
En la última campaña, el grupo parece haber perfeccionado algunos de los trucos de ingeniería social utilizados en campañas anteriores. En el centro de la nueva estafa se encuentra tankzone punto-com, una página de producto diseñada profesionalmente que invita a los visitantes a descargar un juego de tanques multijugador en línea basado en NFT. Los investigadores de Kaspersky encontraron que el juego estaba bien diseñado y funcional, pero sólo porque los actores de Lazarus habían robado el código fuente de un juego legítimo para crearlo.
Un Chrome Zero-Day y un segundo error
Kaspersky descubrió que el sitio web contenía código de explotación para dos vulnerabilidades de Chrome. Uno de ellos, seguido como CVE-2024-4947, fue un error de día cero previamente desconocido en el motor del navegador V8 de Chrome. Esto les dio a los atacantes una forma de ejecutar código arbitrario en la zona de pruebas del navegador a través de una página HTML especialmente diseñada. Google resolvió la vulnerabilidad en mayo después de que Kaspersky informara del fallo a la empresa.
El otro Vulnerabilidad de Chrome Lo que Kaspersky observó en el último exploit de Lazarus Group es que no parece tener un identificador formal. Esto les dio a los atacantes una forma de escapar completamente del entorno limitado de Chrome V8 y obtener acceso completo al sistema. El actor de amenazas utilizó este acceso para implementar shellcode para recopilar información sobre el sistema comprometido antes de decidir si implementar más cargas útiles maliciosas en el sistema comprometido, incluidas una puerta trasera llamada Manuscrypt.
Lo que hace que la campaña sea notable es el esfuerzo que los actores del Grupo Lazarus parecen haber puesto en su ángulo de ingeniería social. “Se centraron en establecer un sentido de confianza para maximizar la eficacia de la campaña, diseñando detalles para que las actividades promocionales parecieran lo más auténticas posible”, escribieron los investigadores de Kaspersky Boris Larin y Vasily Berdnikov. Utilizaron varias cuentas falsas para promocionar su sitio a través de X y LinkedIn con contenido e imágenes generados por IA para crear una ilusión de autenticidad en torno a su sitio de juegos falso.
“Los atacantes también intentaron involucrar a personas influyentes en criptomonedas para una mayor promoción, aprovechando su presencia en las redes sociales no solo para difundir la amenaza, sino también apuntar directamente a sus cuentas de criptomonedas”, escribieron Larin y Berdnikov.