Ciberguerra entre Rusia y Ucrania: ¿un segundo frente?

Seguridad y privacidad en internet: Lo que debes saber sobre OpenVPN

Método infalible para detectar si tu móvil ha sido hackeado; las 9 señales

Guerra cibernética: El grupo norcoreano Lazarus Group ataca a las empresas energéticas de todo el mundo

Hackers comunistas de Corea del Norte vuelven a reponer el presupuesto del país robando criptomonedas

Expertos señalan que los ataques de ransomware en Linux han aumentado en un 75%

Scamming: Cómo identificar rápidamente las ofertas falsas de empleo

Hackers roban datos ultrasecretos de Defensa de EE.UU. utilizando un software nunca antes visto

Las 7 razones esenciales por las que debes estudiar el lenguaje de programación Java

Aplicaciones de control parental: ¿cuál elegir?

Hackers comunistas de Corea del Norte vuelven a reponer el presupuesto del país robando criptomonedas

por | 3, Dic 2022 | Hacking

Los hackers informáticos están mejorando las técnicas de ataque para que sea aún más fácil eludir los sistemas de defensa. 

Según un nuevo informe de la empresa de seguridad cibernética Volexity, el grupo de hackers informáticos norcoreano Lazarus está llevando a cabo una nueva campaña mediante la distribución de aplicaciones de criptomonedas falsas bajo la marca ficticia «BloxHolder» para instalar el malware AppleJeus con el fin de obtener acceso inicial a las redes y robar activos criptográficos. 

La nueva campaña de Lazarus comenzó en junio de 2022 y duró al menos hasta octubre del mismo año. En esta campaña, los atacantes utilizaron el dominio “bloxholder[.]com”, un clon de la plataforma de comercio de criptomonedas automatizada HaasOnline. 

El sitio de phishing estaba distribuyendo un MSI Windows Installer haciéndose pasar por la aplicación BloxHolder. En realidad, era el malware de robo de criptomonedas de Corea del Norte AppleJeus, que se entregaba bajo la apariencia de una aplicación legítima de comercio de bitcoins, QT Bitcoin Trader. 

Una vez instalado a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta «%APPDATA%\Roaming\Bloxholder\». Luego, el malware envía la siguiente información del sistema al servidor de comando y control (C&C) a través de una solicitud POST:

  • Dirección MAC.
  • Nombre del ordenador.
  • Versión del sistema operativo.

Así es como el malware determina si se está ejecutando en una máquina virtual o en un sandbox. También en campañas recientes, el grupo utilizó la técnica DLL Sideloading para instalar malware desde un proceso confiable, evitando la detección de sistemas AV.

Los investigadores de Volexity dijeron que la razón por la que Lazarus eligió la técnica de carga lateral de DLL no está clara, pero puede ser para dificultar el análisis de malware. Otra característica nueva de las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo especial, lo que las hace más invisibles para los productos de seguridad.

Análisis informático forense

Saber más

Experto en director de seguridad

 

 

Saber más

Certified en Ethical Hacking | Pentesting

Saber más

Técnico competente

en planes de autoprotección

Saber más

Curso de Maltego Profesional

Saber más