El grupo Lazarus ataca bancos de América Latina

Los investigadores de Trend Micro han descubierto que el grupo de hacking norcoreano conocido como Lazarus se enfocó recientemente en las instituciones financieras de América Latina.

Se sabe que el grupo está respaldado por el gobierno norcoreano y ha estado involucrado en una serie de ataques de alto perfil, incluido el devastador ataque contra Sony Pictures a finales de 2014 y el robo de U$S 81 millones de la cuenta de Bangladesh en El Banco de la Reserva Federal de Nueva York. También conocido como Hidden Cobra, se cree que el grupo es la amenaza más seria contra los bancos y también comenzó a atacar a individuos el año pasado. Recientemente, se dijo que el grupo ha robado millones de cajeros automáticos en Asia y África.

Trend Micro ahora dice que se encontró una puerta trasera de Lazarus en varias máquinas de instituciones financieras en América Latina. La firma de seguridad también informa que el malware se instaló en ciertas máquinas seleccionadas el 19 de septiembre pasado.

La técnica de ataque se asemeja a un ataque de Lazarus 2017 sobre objetivos en Asia. El grupo utilizó FileTokenBroker.dll en ese ataque, y el mismo backdoor modular parece haber sido empleado también en el incidente reciente también. En sus ataques de 2018, el grupo Lazarus utilizó múltiples puertas traseras, y también empleó una técnica complicada que involucraba tres componentes principales; una DLL como un servicio, una puerta trasera cifrada y un archivo de configuración cifrado.

Instalada como un servicio, la DLL usa nombres diferentes en diferentes máquinas, pero tiene las mismas capacidades en todas ellas.

Una vez instalada en la máquina objetivo, el backdoor puede recopilar archivos e información del sistema, descargar archivos y malware adicional; iniciar, terminar, enumerar procesos; actualizar los datos de configuración; borrar archivos; inyectar código de archivos a otro proceso en ejecución; utilizar proxy; reverse shell; y se ejecuta en modo pasivo, donde se abre y escucha un puerto para recibir comandos a través de él. El malware requiere una conexión de C&C para realizar sus actividades.

"El grupo Lazarus es una organización experimentada, que evoluciona metódicamente sus herramientas y experimenta con estrategias para superar las defensas de una organización. Las puertas traseras que están implementando son difíciles de detectar y representan una amenaza importante para la privacidad y la seguridad de las empresas, permitiendo a los atacantes robar información, eliminar archivos, instalar malware y mucho más", concluye Trend Micro.

Fuente: SecurityWeeks