A través de ofertas de trabajo falsas publicadas en LinkedIn, los hackers de Lazarus Group buscan engañar a las víctimas para ejecutar un código malicioso y robar criptomonedas.
Un informe publicado recientemente por la compañía de seguridad F-Secure, detalla que el grupo de hackers conocido como Lazarus Group está ejecutando un ataque a través de la red empresarial LinkedIn, para engañar a usuarios clave y desprevenidos con una oferta laboral falsa que solo busca robar sus criptomonedas. Según el informe, el modus operandi de Lazarus Group consiste en una campaña de phishing para promocionar una oferta de trabajo falsa dentro de una empresa blockchain a través de LinkedIn. Dicha oferta de trabajo contiene un documento que al descargarlo y abrirlo ejecuta un código malicioso que le permite a los hackers obtener las credenciales de inicio de sesión de las víctimas y el acceso a la red, datos con los que eventualmente pueden acceder a los sistemas donde están almacenadas las criptomonedas.
El ataque apunta hacia los exchanges, casas de custodia y demás organizaciones verticales de criptomonedas. Por ejemplo, en el último y más reciente ataque de Lazarus Group, los hackers apuntaron hacia un administrador de sistemas de un importante exchange, quien recibió una oferta de trabajo a través de la red LinkedIn.
Según el informe de F-Secure, la oferta de trabajo falsa indicaba exactamente los conocimientos, habilidades y destrezas exactas con los que contaba la víctima, además contenía un documento word que describía más información sobre la oferta laboral. Así mismo, la oferta indicaba que el documento estaba protegido por la Ley de Regulación General de Protección de Datos de la Unión Europea (GPDR), por lo que solicitaba a la víctima que habilitara macros para poder visualizar el documento completo, algo que al hacerlo permitió la instalación de un VBScript dentro del dispositivo para que los hackers pudieran controlar las conexiones a varios servidores de comando comprometidos y supervisados por Lazarus Group.
Te puede interesar: Encuentran mineros ocultos en los servicios de Amazon
Campañas de phishing dirigidas a administradores de importantes compañías y organizaciones
Lazarus Group es uno de los grupos de hackers más grandes del mundo vinculado a Corea del Norte, y que ha estado dirigiendo ataques a varios sectores y compañías importantes. Además del reciente ataque a las compañías de criptomonedas, Lazarus Group también está utilizando estrategias de phishing para atacar a empleados importantes de la industria aeroespacial y de las organizaciones de defensa de los Estados Unidos.
McAfee y ClearSky emitieron informes donde revelan que este grupo de hackers está aprovechando técnicas de ataque similares a las utilizadas a través del LinkedIn contra el administrador del exchange de criptomonedas, para comprometer a los usuarios y sus dispositivos y acceder a información confidencial.
“Las Técnicas, Tácticas y Procedimientos (TTP) de la actividad de 2020 son muy similares a las campañas anteriores que operan bajo el mismo modus operandi que observamos en 2017 y 2019”.
La campaña phishing que realiza este Lazarus Group comenzó en 2018 con varios incidentes en los países de China, Estados Unidos, Reino Unido, Canadá, Alemania, Rusia, Corea del Sur, Argentina, Singapur, Hong Kong, Países Bajos, Estonia, Japón y Filipinas, según el informe de F-Secure.
¿Cómo funciona el ataque phishing de Lazarus Group?
Como se mencionó al principio, en la oferta de trabajo falsa se le indica a las víctimas que el documento informativo está protegido por la Ley de Protección de Datos de la UE, por lo que la víctima debe habilitar macros para visualizar el documento. No obstante, al momento de habilitar las macros, el documento ejecuta un código malicioso que recopila y extrae información confidencial del dispositivo comprometido, enviándola a los atacantes. Esta información le permite a los hackers «descargar archivos adicionales, descomprimir datos en la memoria, iniciar la comunicación C2, ejecutar comandos arbitrarios y robar credenciales de varias fuentes», y mucho más.
Debido a la habilidad que posee este grupo de hackers, Lazarus Group representa una amenaza continua para la sociedad y las organizaciones, por lo que la firma de seguridad hace un llamado a los usuarios a ser conscientes de los posibles ataques de los que pueden ser víctimas, y a las compañías, empresas y organizaciones a ser conscientes de la necesidad de aumentar la seguridad y la vigilancia continua de sus espacios, que representan un objetivo específico para este peligroso grupo.
Sobre Lazarus Group
Se estima que este grupo de hackers se formó en 2007 en Corea del Norte para dirigir ataques a instituciones gubernamentales, bancarias, financieras y del ejército, además de industrias de diferentes sectores, como compañías de comunicación, entretenimiento, navieras, blockchain y mucho más. Según un informe emitido por el Departamento del Tesoro de los Estados Unidos, Lazarus Group se vale de técnicas de ciberespionaje, robo de datos, robo monetario y operaciones destructivas a través de malware para dirigir operaciones cibernéticas maliciosas.
Este grupo está implicado en varios robos a bancos comerciales y casas de cambio de divisas, como el robo de 81 millones de dólares al Banco de Bangladesh en 2016. Así mismo, el Departamento del Tesoro de los Estados Unidos estima que Lazarus Group robó más de 570 millones de dólares entre 2017 y 2018 para proporcionarlos al gobierno de Corea del Norte.
Continúa leyendo: Seguridad: Varios exchanges presentan vulnerabilidades que ponen en riesgo los fondos de los usuarios