Grupo Lazarus busca Bitcoin de los usuarios mediante Phishing

Lazarus, que también ha actuado bajo el nombre de Hidden Cobra, es el grupo de hackers que presuntamente trabaja para el régimen dictatorial de Corea del Norte, actualmente dirigido por Kim Jong-Un.

Lazarus ha llevado a cabo muchas acciones diferentes a lo largo de su trayectoria, desde robar dinero hasta vengar al país para el que trabaja de situaciones que le han resultado humillantes, como el brutal ataque hacker contra Sony Pictures debido al próximo estreno de la película The Interview. También se le atribuye al menos participación en la creación del conocido ransomware WannaCry y el robo de planes de guerra de Corea del Sur, vecino con el que mantiene un conflicto desde hace décadas heredado del contexto de la Guerra Fría. Obviamente, todas aquellas acciones no se iban a quedar sin respuesta, y aparte de una posible guerra bélica que se está gestando a rebufo del desarrollo de armas de destrucción masiva por parte de Corea del Norte, grupos de hackers como Anonymous y Lizard Squad llevaron a cabo en el pasado ataques DDoS contra ese país y Estados Unidos intentó colarle el gusano Stuxnet en su redes.

Corea del Norte no es país que aparentemente tenga facilidades para financiarse. Según un investigador de seguridad de McAfee, Lazarus estaría en los últimos tiempos centrado en atacar a usuarios incautos de Bitcoin mediante una campaña de phishing. Esta persona, que se identifica como HaoBao, ha descubierto que Lazarus está enviando emails suplantando a una empresa de contratación de Hong Kong que busca a un Ejecutivo de Desarrollo Comercial.

El ataque no es en apariencia nada revolucionario, ya que el email contiene un enlace de Dropbox hacia un fichero de Microsoft Word con una macro maliciosa. Una vez haya sido abierto el fichero, este preguntará a la víctima si quiere habilitar los contenidos, cosa que si se responde de forma afirmativa permite a la macro escanear para comprobar la presencia de carteras de criptomonedas e implantar un mecanismo de recopilación de datos que funciona a largo plazo. Para engañar a la víctima con el fin de hacerse pasar por un documento seguro, notifica que ha sido creado con la versión más reciente de Microsoft Office, cosa que en realidad no aporta nada en términos de seguridad.

El malware implantado en el ordenador de la víctima recopila, además de Bitcoins, el nombre de la computadora, el usuario actualmente en ejecución, la lista de todos los procesos en ejecución y la presencia de una clave de registro específica en el sistema, los cuales son enviados a un servidor de mando y control. Según McAfee, en los últimos tiempos se está detectando un aumento en la recopilación de datos por parte de Lazarus, además de estar centrándose más en grandes bancos e inversores de critpomonedas.

Fuente: HackRead