Lazarus Group se ha vuelto especialmente peligroso con el nuevo ataque Mach-O Man: CertiK
El Grupo Lazarus, administrado por el estado norcoreano, está llevando a cabo una nueva campaña conocida como “Mach-O Man” que convierte la comunicación empresarial rutinaria en un camino directo al robo de credenciales y la pérdida de datos, advirtieron el miércoles expertos en seguridad.
El colectivo, con un botín acumulado estimado en 6.700 millones de dólares desde 2017, está apuntando a fintech, criptomonedas y otros ejecutivos y empresas de alto valor, dijo a CoinDesk el miércoles Natalie Newson, investigadora senior de seguridad blockchain en CertiK.
Sólo en las últimas dos semanas, los hackers norcoreanos han desviado más de 500 millones de dólares de los exploits Drift y KelpDAO en lo que parece ser una campaña sostenida. La industria de la criptografía debe empezar a ver a Lazarus de la misma manera que los bancos ven a los actores cibernéticos de los estados-nación: "como una amenaza constante y bien financiada, no simplemente como otro titular de noticias", dijo.
"Lo que hace que Lazarus sea especialmente peligroso en este momento es su nivel de actividad", dijo Newson. "KelpDAO, Drift y ahora un nuevo kit de malware para macOS, todo en el mismo mes. Esto no es un hackeo aleatorio; es una operación financiera dirigida por el estado que se ejecuta a una escala y velocidad típicas de las instituciones".
Corea del Norte ha convertido el robo de criptomonedas en una lucrativa industria nacional, y Mach-O Man es sólo el último producto de ese proceso, dijo. Si bien Lazarus lo creó, otros grupos de ciberdelincuencia también lo están utilizando.
"Es un kit modular de malware para macOS creado por la infame división Chollima del Grupo Lazarus. Utiliza binarios Mach-O nativos diseñados para entornos de Apple donde operan cripto y fintech", dijo.
Newson dijo que Mach-O Man utiliza un método de entrega conocido como ClickFix. "Es importante ser claro porque mucha cobertura mezcla dos cosas distintas", señaló. ClickFix es una técnica de ingeniería social en la que se le pide a la víctima que pegue un comando en su terminal para solucionar un problema de conexión simulado.
Funciona cuando Lazarus envía a los ejecutivos una invitación a una reunión "urgente" a través de Telegram para una llamada de Zoom, Microsoft Teams o Google Meet, según Mauro Eldritch, experto en seguridad y fundador de la firma de inteligencia sobre amenazas BCA Ltd.
El enlace conduce a un sitio web falso, pero convincente, que les indica que copien y peguen un comando simple en la terminal de su Mac para "solucionar un problema de conexión". Al hacerlo, las víctimas proporcionan acceso inmediato a sistemas corporativos, plataformas SaaS y recursos financieros. Cuando descubren que fueron explotados, normalmente ya es demasiado tarde.
Hay varias variaciones de este ataque, dijo en X el investigador de amenazas a la seguridad Vladimir S.. Ya hay casos en los que los atacantes de Lazarus han secuestrado dominios de proyectos de finanzas descentralizadas (DeFI) con este nuevo malware reemplazando sus sitios web con un mensaje falso de Cloudflare, pidiéndoles que ingresen un comando para otorgar acceso.
"Estos 'pasos de verificación' falsos guían a las víctimas a través de atajos de teclado que ejecutan un comando dañino", dijo Newson de Certik. "La página parece real, las instrucciones parecen normales y la víctima inicia la acción por sí misma, razón por la cual los controles de seguridad tradicionales a menudo no la detectan".
La mayoría de las víctimas de este hack no se darán cuenta de que su seguridad ha sido violada hasta que se haya producido el daño, momento en el cual el malware también se habrá borrado.
"Probablemente no lo sepan todavía", dijo. "Si lo hacen, probablemente no puedan identificar qué variante los afectó".