Lazarus Group intensifica su ataque cibernético al mercado de criptomonedas, implementando malware sofisticado a través de aplicaciones de video falsas y expandiendo su objetivo de extensiones de navegador.

La célebre banda de piratas informáticos norcoreana Lazarus Group, conocida por sus sofisticadas campañas cibernéticas contra la industria de las criptomonedas, está intensificando sus esfuerzos para atacar a los profesionales y desarrolladores de criptomonedas. El grupo ha introducido nuevas variantes de malware y ha ampliado su enfoque para incluir aplicaciones de videoconferencia, según un reciente informe de investigación de Group-IB, una empresa de ciberseguridad.

En 2024, Lazarus amplió sus ataques con la campaña “Entrevista contagiosa”, que engaña a los solicitantes de empleo para que descarguen malware disfrazado de tareas relacionadas con el trabajo. El esquema ahora incluye una aplicación de videoconferencia falsa llamada “FCCCall” que imita un software real e instala el malware BeaverTail, que luego implementa la puerta trasera basada en Python “InvisibleFerret”.

“La funcionalidad principal de BeaverTail permanece inalterada: extrae credenciales de los navegadores y datos de las extensiones del navegador de las billeteras de criptomonedas”.

Grupo IB

También te puede interesar: Los hackers del Grupo Lazarus lanzan un nuevo método para realizar ciberataques

Los investigadores del Grupo IB también han identificado un nuevo conjunto de scripts de Python denominados “CivetQ” como parte del conjunto de herramientas en evolución de Lazarus. Las tácticas del grupo ahora incluyen el uso de Telegram para la exfiltración de datos y la expansión de su alcance a repositorios relacionados con los juegos, troyanizando proyectos basados ​​en Node.js para difundir su malware.

“Después de hacer el contacto inicial, a menudo intentaban trasladar la conversación a Telegram, donde [los piratas informáticos] pedían a los posibles entrevistados que descargaran una aplicación de videoconferencia o un proyecto Node.js para realizar una tarea técnica como parte del proceso de entrevista”.

Grupo IB

La última campaña de Lazarus destaca su creciente enfoque en las extensiones de navegador de billeteras criptográficas, enfatizan los analistas de Group-IB, y agregan que los malos actores ahora apuntan a una lista creciente de aplicaciones que incluyen MetaMask, Coinbase, BNB Chain Wallet, TON Wallet y Exodus Web3, entre otras.

El grupo también ha desarrollado métodos más sofisticados para ocultar su código malicioso, lo que hace que su detección sea más difícil.

La escalada refleja tendencias más amplias destacadas por el FBI, que recientemente advirtió que los actores cibernéticos norcoreanos están apuntando a empleados de los sectores de las finanzas descentralizadas y las criptomonedas con campañas de ingeniería social altamente especializadas. Según el FBI, estas tácticas sofisticadas están diseñadas para penetrar incluso los sistemas más seguros, lo que representa una amenaza constante para las organizaciones con importantes activos criptográficos.

Leer más: El grupo Lazarus supuestamente mueve fondos robados de un hackeo de Bitcoin de $308 millones a DMM