Hackers Lazarus de Corea del Norte lanzan nuevo malware para robar criptomonedas

De acuerdo con reportes de la firma de ciberseguridad Kaspersky, el infame grupo “Lazarus” está de nuevo en la superficie, y son los responsables de un nuevo tipo de malware diseñado para infiltrarse en entidades corporativas a nivel global, robar datos privados y distribuir ransomware. El malware “MATA” (acrónimo de Framework de malware dirigido a múltiples plataformas) es capaz de correr en Windows, Linux y MacOS de manera nativa, y de acuerdo con los expertos, ya ha sido detectado en proveedores de servicio de internet, compañías de software y de comercio electrónico de Polonia, Alemania, Turquía, Corea del Sur, India y Japón.

El malware se instala de manera secreta a través de un archivo o módulo orquestador (lsass.exe en el entorno Windows) que se encarga de descargar e instalar al menos 15 plugins adicionales que quedan corriendo en la memoria. Estos plugins son los que posteriormente habilitan las funcionalidades malignas del software como controlar procesos, inyectar librerías, crear servidores proxi, y engañar a los sistemas de autenticación externos haciéndose pasar por una app de 2FA llamada TinkaOTP (que en teoría debería producir contraseñas de un único uso). Después de que el malware está desplegado, los hackers pueden posteriormente localizar bases de datos, monitorear información y en caso de un eventual ransomware, pedir una recompensa en criptomonedas a las víctimas. Los ataques de ransomware han aumentado su popularidad durante los últimos meses, siendo el pan de cada día en foros y mercados ilegales de la Deep Web. Recientemente la Universidad de York anunció que había sido atacada por este tipo de software mientras que las universidades de California y la de Calgary pagaron a los atacantes rescates en criptomonedas para obtener el password que les permitiera desencriptar sus datos.

Corea del Norte: Un país que quiere Bitcoin por las buenas o por las malas

Los organismos de seguridad de Estados unidos sospechan que el grupo Lazarus no es una iniciativa privada, sino que están financiados por el propio presidente de Corea del Norte, Kim Jong Un. De hecho, es probable que el aumento del uso de internet en ese país esté relacionado con un “boom” del hacking en ese país. De acuerdo con el Consejo de Seguridad de la Organización de Naciones Unidas, hasta 2019 Corea del Norte había amasado entre 670 y hasta 2 mil millones de dólares en Bitcoin, fundamentalmente a través de actividades fuera del marco de la ley, como la distribución de malware. De acuerdo con datos de Associated Press, existe un reporte de las Naciones Unidas que explica que los grupos de hackers de Corea del Norte han atacado a la red SWIFT con mensajes fraudulentos, han robado criptomonedas con “ataques a plataformas exchange y a usuarios” y han recurrido a la “minería de criptomonedas como fuente de financiamiento para el ala profesional de sus fuerzas militares” De igual forma, los Estados Unidos reveló un documento oficial en el que explican que buscan confiscar 113 direcciones de criptomonedas asociadas a Corea del Norte. Aseguran que el gobierno norcoreano usa los criptoactivos para lavar dinero. Por lo visto, a pesar de los bloqueos y del atraso tecnológico de un país tan aislado como Corea del Norte, aún hay posibilidad de lanzar ataques informáticos de escala global… especialmente si estos sirven para ganar algo de Bitcoin.