Un grupo de piratas informáticos norcoreano patrocinado por el Estado, denominado Lazarus Group, ha lanzado un nuevo programa de distribución de malware, según la empresa de ciberseguridad Kaspersky.
Kaspersky ha publicado recientemente un nuevo informe en el que se denuncia que Lazarus se está haciendo pasar por inversores de capital riesgo para propagar malware. Los investigadores de seguridad también señalaron que BlueNoroff, el grupo vinculado a Lazarus, puede utilizar el malware para eludir las medidas de seguridad Mark-of-the-Web (MOTW). Bajo la apariencia de ser un inversor de capital riesgo, BlueNoroff opera con el pretexto de querer invertir en monedas digitales.
En su informe, Kaspersky explica:
«[BlueNoroff] ha creado muchos dominios falsos que parecen dominios de capital riesgo y bancarios. La mayoría de los dominios imitan a empresas japonesas de capital riesgo, lo que indica que el grupo tiene un gran interés en las entidades financieras japonesas.»
Además, Kaspersky añadió que los actores de amenazas asociados a Lazarus habían imitado plataformas populares de capital riesgo para propagar malware. Entre ellos figuran Beyond Next Ventures, Angel Bridge, Bank of America y Mizuho Financial Group. Según Kaspersky, detectó los ataques globales de BlueNoroff dirigidos a empresas de criptomonedas en enero de este año. Sin embargo, la plataforma de ciberseguridad también afirmó que las actividades de los piratas informáticos disminuyeron hasta la temporada de otoño.
Kaspersky señaló que BlueNoroff utiliza su malware para atacar a organizaciones que realizan operaciones utilizando medios digitales y Web3. Estos canales incluyen los contratos inteligentes, las finanzas descentralizadas (DeFi), la cadena de bloques y la industria de las tecnologías financieras.
Además, BlueNoroff probó diferentes tipos de archivos para perfeccionar los métodos de distribución del malware. Según Kaspersky, el afiliado del Grupo Lazarus desplegó el archivo Batch Windows Visual Basic Script, nunca antes visto, como parte de sus pruebas. «Como muestran nuestros últimos descubrimientos, este conocido actor ha introducido ligeros cambios en la distribución de su malware«, concluyen los investigadores.
Kaspersky afirma que el grupo de phishing afiliado a Lazarus no está frenando sus prácticas maliciosas
Kaspersky cree que BlueNoroff, que cuenta con unos 1.700 individuos repartidos por todo el mundo, no va a ralentizar sus actividades. Hasta el momento, el grupo de phishing ha desplegado más de 70 dominios en su afán por robar a las startups de criptomonedas.
El investigador Seongsu Park afirma que en 2023 BlueNoroff y otros grupos de phishing estarán aún más activos:
«El año que viene se producirán las ciberepidemias más impactantes, cuya fuerza nunca se ha visto antes. […] En el umbral de nuevas campañas maliciosas, las empresas necesitan estar más seguras que nunca».
El subgrupo BlueNoroff Lazarus saltó a la fama por primera vez tras su ataque al banco central de Bangladesh en 2016. En una alerta de abril, el subgrupo también figuraba entre un grupo de ciberamenazas norcoreanas mencionadas por una agencia estadounidense de vigilancia de ciberataques. Según informaron entonces la Agencia de Ciberseguridad y Seguridad de las Infraestructuras y la Oficina Federal de Investigación, la amenaza de los piratas informáticos norcoreanos exigía medidas de seguridad más estrictas para las empresas de criptomonedas.
También en abril, una unidad especializada del Departamento del Tesoro de Estados Unidos afirmó que el Grupo Lazarus estaba detrás del pirateo de Ronin Bridge. Este hackeo tuvo lugar en marzo de este año y su valor en ese momento superaba los 600 millones de dólares.