Hackers norcoreanos no están robando tus criptomonedas por Telegram

El estudio mencionado existe, de hecho, y se trata de una investigación titulada “Secuela de la Operación AppleJeus” por parte de la compañía de ciberseguridad Kaspersky Lab. En ella se describe cómo el grupo de hackers maliciosos Lazarus ha desarrollado nuevas técnicas de ataque, entre las cuales se encuentra la distribución de su virus AppleJeus por medio de Telegram. En esta parte cabe aclarar que la función específica de estos virus no está aún bien determinada; así como tampoco el origen certero del grupo Lazarus. Se les ha considerado virus porque se trata de programas que se instalan en los dispositivos sin permiso, usando páginas web falsas (phishing), y puede (o no) que sean capaces de controlar el equipo infectado. Así reza la investigación:

“No podemos obtener la carga útil final que se ejecuta en la memoria, pero creemos que su malware de tipo puerta trasera se utiliza en última instancia para controlar a la víctima infectada”.

Por supuesto, el grupo de hackers Lazarus trabaja a cambio de ganancias financieras y anteriores investigaciones han determinado que lograron robar hasta 571 millones de dólares en criptomonedas entre 2017 y 2018. Sin duda esta es una iniciativa maliciosa para generar ganancias, pero el método no está especificado. En la investigación de Kaspersky no se menciona que el AppleJeus ha sido utilizado para robar criptomonedas en específico, y menos de usuarios individuales por medio de Telegram. De hecho, es muy probable que el AppleJeus solo esté dirigido a infectar negocios de criptomonedas:

“Pudimos identificar a varias víctimas en esta secuela de la Operación AppleJeus. Las víctimas fueron registradas en el Reino Unido, Polonia, Rusia y China. Además, pudimos confirmar que varias de las víctimas están vinculadas a entidades comerciales de criptomonedas”.

No se menciona que esas víctimas hayan perdido fondos en criptomonedas.

Antecedentes

La investigación se titula de esa forma porque el AppleJeus apareció por primera vez en 2018 como un virus destinado a afectar al sistema operativo macOS. En esa ocasión, el virus fue dirigido en directo a una compañía de criptomonedas, ofreciéndose como una supuesta aplicación de trading a través de correo electrónico. Los hackers incluso han construido páginas web falsas de empresas de criptomonedas ficticias para promocionar el instalador del virus. Entre se ellas se encuentran Union Crypto Trader y Cryptian. Ambas se destacan por no tener muchos links activos y, en la secuela, conservar un canal de Telegram para la posterior distribución del AppleJeus. Tanto entonces como ahora el objetivo final del virus no se sabe con certeza, aunque se cree que podría estar preparando un ataque coordinado para robar criptomonedas a empresas relacionadas. En todo caso, bastaría con no confiar en presuntas empresas de criptomonedas nuevas sin antes investigarlas; ni descargar enlaces proporcionados vía correo electrónico o chats como Telegram, a menos que se confíe enteramente en la persona o entidad que los envía.