Lazarus Group lanza su primer malware funcional en Mac

Share this…

El malware ha sido esparcido a través del ataque a una bolsa de criptomoneda

Lazarus Group, el grupo de hackers norcoreanos responsable por el ataque a Sony Films hace unos años, ha lanzado su primer malware para Mac, según reportes de especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética. En un informe publicado recientemente, los investigadores informaron que Lazarus penetró en los sistemas de TI de una plataforma de intercambio de criptomonedas establecida en Asia.

El ataque a esta plataforma no ha sido reportado a ningún medio hasta el momento; sin embargo, especialistas en ciberseguridad afirman que los hackers penetraron en los sistemas con éxito, aunque aún no se tienen registros de alguna pérdida económica.

La bolsa fue hackeada debido a un empleado descargó una aplicación maliciosa

El hack tuvo lugar después de que uno de los empleados de la bolsa descargara una aplicación de un sitio web aparentemente legítimo que afirmaba pertenecer a una empresa de desarrollo de software para el comercio con criptomoneda. Pero el sitio era falso y la aplicación estaba infectada con malware. En Windows, la aplicación descargó e infectó usuarios con Fallchill, un troyano de acceso remoto(RAT) conocido por estar asociado con Lazarus Group.

En esta ocasión, a diferencia de operaciones anteriores de Lazarus, los hackers también desplegaron una cepa de malware para Mac. Este malware estaba oculto dentro de la versión para Mac del mismo software de comercio con criptomoneda.

Los expertos en ciberseguridad mencionan que tanto el malware de Windows como el de Mac no eran visibles dentro de la aplicación contaminada. Los operadores de Lazarus no integraron el malware dentro de la aplicación directamente, sino que simplemente modificaron su componente de actualización para descargar el malware en una fecha posterior.

Además, el software de comercio de criptomonedas contaminado también estaba firmado por un certificado digital válido, lo que le permitía eludir escaneos de seguridad.

El misterio que rodea a este certificado es que fue emitido por una empresa cuya existencia no pudo ser demostrada en la dirección de la información del certificado.

Para los encargados de la investigación, el hecho de que este malware se haya diseñado para infectar usuarios de macOS además de Windows e incluso hayan creado una empresa de software ficticia significa que los atacantes ven un gran potencial económico para esta operación.

Diversas firmas de ciberseguridad han señalado en repetidas ocasiones que, desde principios de 2017, los hackers norcoreanos han mostrado un gran interés en intervenir bolsas de valores de criptomoneda y otras instituciones financieras, desde donde roban fondos que luego llevan a territorio asiático. El año pasado, varias plataformas asiáticas de intercambio de criptomoneda sufrieron incidentes de seguridad, principalmente las establecidas en Corea del Sur.