Hackers comunistas de Corea del Norte vuelven a reponer el presupuesto del país robando criptomonedas

Escrito el 03/12/2022

Los hackers informáticos están mejorando las técnicas de ataque para que sea aún más fácil eludir los sistemas de defensa. 

Según un nuevo informe de la empresa de seguridad cibernética Volexity, el grupo de hackers informáticos norcoreano Lazarus está llevando a cabo una nueva campaña mediante la distribución de aplicaciones de criptomonedas falsas bajo la marca ficticia «BloxHolder» para instalar el malware AppleJeus con el fin de obtener acceso inicial a las redes y robar activos criptográficos. 

La nueva campaña de Lazarus comenzó en junio de 2022 y duró al menos hasta octubre del mismo año. En esta campaña, los atacantes utilizaron el dominio “bloxholder[.]com”, un clon de la plataforma de comercio de criptomonedas automatizada HaasOnline. 

El sitio de phishing estaba distribuyendo un MSI Windows Installer haciéndose pasar por la aplicación BloxHolder. En realidad, era el malware de robo de criptomonedas de Corea del Norte AppleJeus, que se entregaba bajo la apariencia de una aplicación legítima de comercio de bitcoins, QT Bitcoin Trader. 

Una vez instalado a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta «%APPDATA%\Roaming\Bloxholder\». Luego, el malware envía la siguiente información del sistema al servidor de comando y control (C&C) a través de una solicitud POST:

  • Dirección MAC.
  • Nombre del ordenador.
  • Versión del sistema operativo.

Así es como el malware determina si se está ejecutando en una máquina virtual o en un sandbox. También en campañas recientes, el grupo utilizó la técnica DLL Sideloading para instalar malware desde un proceso confiable, evitando la detección de sistemas AV.

Los investigadores de Volexity dijeron que la razón por la que Lazarus eligió la técnica de carga lateral de DLL no está clara, pero puede ser para dificultar el análisis de malware. Otra característica nueva de las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo especial, lo que las hace más invisibles para los productos de seguridad.