Los piratas informáticos de Corea del Norte están apuntando a los criptotrabajadores
Los piratas informáticos que se cree que están asociados con el grupo de ciberdelincuentes Lazarus , con sede en Corea del Norte, han intentado otro atraco digital al apuntar a la empresa de criptomonedas deBridge Finance.
Según lo informado por Bleeping Computer , deBridge funciona como un "protocolo de transferencia de liquidez que permite la transferencia descentralizada de datos y activos" entre múltiples plataformas de cadena de bloques.
Ese hecho por sí solo fue razón suficiente para que Lazarus supuestamente hiciera de la compañía su último objetivo. La infracción se intentó enviando un correo electrónico de phishing a los empleados. Si se abriera, infectaría el sistema con malware , lo que posteriormente le permitiría obtener información confidencial de los dispositivos con Windows en la red.
También sentaría las bases para que se active otra ronda de código malicioso en una etapa avanzada del ataque cibernético.
Los empleados de deBridge Finance recibieron un correo electrónico la semana pasada de los piratas informáticos, que se hicieron pasar por el cofundador de la empresa, Alex Smirnov. El correo electrónico contenía detalles falsos sobre "nuevos ajustes salariales" a través de un archivo HTML.
Ese archivo estaba enmascarado como un PDF, junto con un archivo de acceso directo de Windows (.LNK) que intentaba atraer a las víctimas haciéndose pasar por un archivo de texto de contraseña.
Una vez que se abre el archivo PDF manipulado, se inicia una ubicación de almacenamiento en la nube, lo que solicita al usuario que vuelva a consultar el archivo de texto falso para obtener una contraseña. Desde aquí, el archivo LNK se conecta al símbolo del sistema con un comando que recupera y carga una carga útil almacenada de forma remota.
Ahora que los piratas informáticos violan el sistema con su malware, podría obtener información relevante sobre el sistema de destino, como el nombre de usuario, el sistema operativo, la CPU, los adaptadores de red y los procesos en ejecución.
Aunque la mayoría de los empleados que vieron el correo electrónico lo informaron como sospechoso, una persona desconocía la naturaleza engañosa de los contenidos. Una vez que ese empleado descargó y abrió el documento falso, Smirnov dijo que pudo examinar el ataque en sí.
Se sospecha que los piratas informáticos norcoreanos del grupo Lazarus están detrás de este incidente en particular debido a la similitud en los nombres de los archivos y la infraestructura descubierta en un ataque anterior.
El grupo Lazarus ciertamente ha estado activo últimamente. Recientemente intentó engañar a los expertos en criptografía con una campaña de correo electrónico similar haciéndose pasar por el intercambio de criptomonedas Coinbase. En otros lugares, los piratas informáticos estaban vinculados a un gran robo de criptomonedas de USD 617 millones a principios de este año.