El
equipo de Investigación y Análisis Global de Kaspersky (GReAT) descubrió una
sofisticada campaña maliciosa del grupo Lazarus, una Amenaza Persistente
Avanzada (APT) dirigida a inversores en criptomonedas en todo el mundo. Los
atacantes utilizaron un sitio web falso de un criptojuego que explotaba una
vulnerabilidad de día cero en Google Chrome para instalar software espía
(spyware) y robar credenciales de billeteras.
En mayo
de 2024, al analizar incidentes dentro de la telemetría de Kaspersky Security
Network, los expertos identificaron un ataque que utilizaba el malware
Manuscrypt, el cual ha sido usado por el grupo Lazarus desde 2013 y ha sido
documentado por Kaspersky GReAT en más de 50 campañas únicas dirigidas a
diversas industrias. Un análisis más detallado reveló una campaña maliciosa
sofisticada que dependía en gran medida de técnicas de ingeniería social y de
inteligencia artificial generativa para atacar a los inversores en
criptomonedas.
El
grupo Lazarus es conocido por sus ataques altamente avanzados contra
plataformas de criptomonedas y tiene un historial de uso de exploits de día
cero. Esta campaña recién descubierta siguió el mismo patrón: los
investigadores de Kaspersky encontraron que los atacantes explotaron dos
vulnerabilidades, incluyendo un error de confusión de tipos previamente
desconocido en V8, el motor de JavaScript y WebAssembly de código abierto de
Google. Esta vulnerabilidad de día cero fue catalogada como CVE-2024-4947 y solucionada
después de que Kaspersky la reportara a Google. Permitía a los atacantes
ejecutar código arbitrario, eludir funciones de seguridad y llevar a cabo
diversas actividades maliciosas. Otra vulnerabilidad fue utilizada para eludir
la protección del sandbox de V8 en Google Chrome.
Los
atacantes explotaron esta vulnerabilidad a través de un sitio web de juego
falso que invitaba a los usuarios a competir globalmente con tanques NFT. Se
enfocaron en generar un sentido de confianza para maximizar la efectividad de
la campaña, diseñando detalles para que las actividades promocionales
parecieran lo más genuinas posible. Esto incluyó la creación de cuentas en
redes sociales en X (anteriormente conocido como Twitter) y LinkedIn para
promocionar el juego durante varios meses, utilizando imágenes generadas por IA
para mejorar la credibilidad. Lazarus ha integrado con éxito la inteligencia
artificial generativa en sus operaciones y los expertos de Kaspersky anticipan
que los criminales idearán ataques aún más sofisticados utilizando esta tecnología.
Los
ciberdelincuentes también intentaron involucrar a influencers de criptomonedas
para una promoción adicional, aprovechando su presencia en las redes sociales
no solo para distribuir la amenaza sino también para apuntar directamente a sus
cuentas de criptomonedas.
Un
falso sitio web de criptojuegos que aprovechó una vulnerabilidad de día cero
para instalar spyware
No hay comentarios:
Publicar un comentario