Kaspersky ha revelado nuevos datos sobre el hallazgo de AppleJeus, una amenaza del grupo Lazarus dedicada al robo de criptomonedas. Y es que, la operación sigue en marcha, esta vez con técnicas más sofisticadas y procedimientos mucho más cuidadosos.
En esta operación, Lazarus creó sitios web falsos relacionados con criptomonedas a través de enlaces a canales de organizaciones ficticias que entregaban el malware mediante la app Telegram.
«La nueva operación AppleJeus demuestra que, pese al significativo estancamiento de los mercados de criptomoneda, Lazarus continúa invirtiendo en ataques relacionados con ellas, haciéndolos cada vez más sofisticados. Los cambios y la diversificación de su malware demuestran que con toda probabilidad estos ataques crecerán en número y se convertirán en una amenaza más seria«, afirma Seongsu Park, investigador de seguridad de Kaspersky.
Ataque en dos fases
Como en la operación inicial de AppleJeus, el ataque se realizó en dos fases: Primero, los usuarios descargaban una aplicación y el programa de descarga asociado lanzaba la siguiente descarga desde un servidor remoto, permitiendo al atacante controlar totalmente el dispositivo infectado con una puerta trasera permanente. Sin embargo, en este caso la carga se realizó con mayor cuidado para evadir a las soluciones de detección basadas en el comportamiento.
Además, el malware adoptó una técnica de infección sin archivo. Pues, a diferencia del ataque anterior, durante el cual Lazarus utilizó el código abierto QtBitcoinTrader para construir un instalador de macOS a medida, en AppleJeus Sequel el actor de amenazas comenzó a utilizar un código casero para construir un instalador malicioso.
En esta operación, Lazarus creó sitios web falsos relacionados con criptomonedas a través de enlaces a canales de organizaciones ficticias
Por todo ello, estos cambios demuestran que el actor de amenazas ha sido más cuidadoso en sus ataques, empleando nuevos métodos para evitar ser detectado.
Recomendaciones contra Lazarus o similares
Para protegerse de este y otros ataques similares, Kaspersky recomienda a las empresas de criptomoneda que apliquen las siguientes medidas;
- Introducir una formación básica de concienciación sobre seguridad para todos los empleados, para que puedan reconocer los intentos de phishing
- Realizar una evaluación de la seguridad de las aplicaciones
- Supervisar las vulnerabilidades en los entornos de ejecución de contratos inteligentes
Para los consumidores que ya están explorando las criptomonedas, o que están planeando hacerlo, Kaspersky ofrece los siguientes consejos:
- Utilizar sólo plataformas de criptomonedas fiables y probadas
- No hacer clic en los enlaces que lleven a un banco online o a una cartera web
- Utilizar una solución de seguridad fiable para una protección completa contra una amplia gama de amenazas como Kaspersky Security Cloud