Este es el malware para MacOS dirigido contra ingenieros de blockchain para robar criptomonedas

Los ciberataques se han convertido en una realidad a la que tanto usuarios como empresas deben enfrentarse. Sin embargo, conforme la importancia de la seguridad aumenta, también lo hace la sofisticación de los mismos. Un ejemplo es la aparición de un malware diseñado para MacOS, cuyo objetivo es robar los activos de la comunidad blockchain o de criptomonedas.

Un tipo de amenaza que manifiesta la necesidad de mantenerse alerta y tomar medidas proactivas para proteger nuestros activos digitales. Ya que este tipo de ataques siempre provienen de actores desconocidos. Por ello, es fundamental contar con medidas de seguridad sólidas, como soluciones antivirus, firewall y concienciarse sobre prácticas seguras y violaciones de ingeniería social.

Elastic Security alerta sobre campaña de ciberterrorismo dirigida a ingenieros de blockchain y criptomonedas

Así lo transmite la firma de ciberseguridad, Elastic Security Labs, destacando el secuestro de flujo de ejecución, como una campaña maliciosa vinculada al grupo Lazarus. Una intrusión que se caracteriza por la implementación de múltiples etapas complejas, en las que cada una utiliza técnicas deliberadas de evasión de defensa. Lo que demuestra la destreza de la organización para evadir sistemas de ciberseguridad.

“Descubrimos esta intrusión al analizar los intentos de carga reflexiva de un binario en la memoria de un terminal macOS. La investigación posterior nos ayudó a rastrear el ataque hasta una aplicación Python. Esta se presentaba como un robot de arbitraje de criptomonedas y se distribuía a través de mensajes directos provenientes de un servidor público de Discord”.

Es así como Elastic Security Labs descubrió que se trataba de KandyKorns. Un malware específicamente diseño para los dispositivos de MacOS. Sin embargo, eso no es lo más preocupante. Ya que se observó que dicha amenaza se propaga como parte de una campaña contra ingenieros de blockchain, quienes forman parte de comunidades de criptomonedas.

El malware que se oculta tras una conocida aplicación de comunicación

Los atacantes adoptaron una identidad falsa haciéndose pasar por miembros de la comunidad de ingeniería blockchain en un servidor de Discord. Mientras que la intrusión se ejecutó aprovechando técnicas de ingeniería social, persuadiendo a los usuarios para descargar un bot con la promesa de beneficios económicos. De esa forma engañaron a sus víctimas, aprovechándose de su esperanza de obtener ganancias en el mundo de las criptomonedas.

Sin embargo, los beneficios solo los verían los ciberdelincuentes. Ya que esta aplicaciónpython distribuiría un archivo .zip, que una vez ejecutado, lograría conectarse a un servidor de comando y control. Posteriormente, instalando una carga útil y elaborando un acceso para hacerse pasar por Discord. Así es como múltiples ingenieros de blockchain otorgaron comprometieron sus datos sin siquiera saberlo.

Es así como el malware de MacOS KandyKorn se convierte en la última etapa de esta cadena de ejecución. Básicamente, el script comienza estableciendo rutas de directorio locales y luego intenta generar una carpeta en la ubicación especificada. Si la carpeta ya existe, el script permanece inactivo, sin realizar ninguna acción maliciosa adicional. De esa manera dificultando su detección.

El grupo Lazarus sigue siendo una preocupación con su uso de malware de MacOS

Esto malware le permitió al grupo Lazarus acceder y extraer los datos de sus víctimas, con el objetivo de robar grandes cantidades de criptomonedas. Además, establece una conexión de red saliente y recupera otro archivo Python desde una URL de Google Drive. Una combinación de tácticas que les garantizó una vía sigilosa para comprometer los sistemas y obtener datos valiosos.

Muchos quizá conozcan este grupo de ciberdelincuentes. Ya que Lazarus estuvo involucrado en una serie de ataques impactantes en la industria tecnológica. Entreellos, el ataque al Banco de Bangladesh en 2016,llegando a robar cerca de 81 millones de dólares. Así como el ataque a Sony Pictures Entertainment en 2014, donde se filtraron datos confidenciales, causando daño intelectual a la marca.

Por su parte, la aplicación o malware de MacOS pertenece a HLOADER, el cual ha sido identificado mediante una técnica de firma de código binario. La misma que previamente se observó en otras actividades del grupo Lazarus. En este sentido, reforzando la sospecha de su participación en las operaciones de dichos ciberataques.

Campaña de ataques a blockchain resalta la urgencia de nuevas medidas de ciberseguridad

Este grupo se caracteriza por su uso de técnicas de ofuscación para evadir las capacidades de detección de malware tradicionales. Además de que su combinación con estrategias de ingeniería social y psicología. Según Elastic Security Labs, el malware muestra cero detecciones a día de hoy, lo que indica que estas evasiones defensivas siguen siendo rentables para Lazarus.

Podemos concluir que estos incidentes demuestran la habilidad y el alcance de este grupo de ciberdelincuentes, quienes representan una amenaza significativa en la seguridad cibernética. Por lo cual se resalta la necesidad de implementar medidas más robustas y eficaces para proteger nuestros sistemas y datos sensibles. Así como mantenerse actualizados sobre las últimas técnicas utilizadas por los atacantes.