La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), junto con la Oficina Federal de Investigaciones (FBI) y el Departamento del Tesoro, advirtieron sobre un nuevo conjunto de ataques cibernéticos en curso llevados a cabo por el Grupo Lazarus contra empresas de cadenas de bloques.
Llamar al grupo de actividades ComercianteTraidorlas infiltraciones involucran al actor de amenazas persistentes avanzadas (APT) patrocinado por el estado de Corea del Norte que golpea a las entidades que operan en la industria Web3.0 desde al menos 2020.
Las organizaciones objetivo incluyen intercambios de criptomonedas, protocolos de finanzas descentralizadas (DeFi), videojuegos de criptomonedas de jugar para ganar, empresas de comercio de criptomonedas, fondos de capital de riesgo que invierten en criptomonedas y titulares individuales de grandes cantidades de criptomonedas o valiosos tokens no fungibles (NFT). .
Las cadenas de ataque comienzan cuando el actor de la amenaza se comunica con las víctimas a través de diferentes plataformas de comunicación para atraerlas a que descarguen aplicaciones de criptomonedas armadas para Windows y macOS, aprovechando posteriormente el acceso para propagar el malware a través de la red y realizar actividades de seguimiento para robar claves privadas. e iniciar transacciones de blockchain no autorizadas.
“Las intrusiones comienzan con una gran cantidad de mensajes de phishing enviados a los empleados de las empresas de criptomonedas”, se lee en el aviso. “Los mensajes a menudo imitan un esfuerzo de reclutamiento y ofrecen trabajos bien remunerados para atraer a los destinatarios a descargar aplicaciones de criptomonedas con malware”.
Esta está lejos de ser la primera vez que el grupo implementa malware personalizado para robar criptomonedas. Otras campañas montadas por Lazarus Group incluyen Operation AppleJeus, SnatchCrypto y, más recientemente, el uso de aplicaciones de billetera DeFi troyanizadas para máquinas Windows de puerta trasera.
La amenaza TraderTraitor comprende una serie de aplicaciones criptográficas falsas que se basan en proyectos de código abierto y afirman ser un software de comercio de criptomonedas o predicción de precios, solo para entregar el troyano de acceso remoto Manuscrypt, una pieza de malware previamente vinculada a las campañas de piratería del grupo contra las industrias de criptomonedas y juegos móviles.
La lista de aplicaciones maliciosas está a continuación:
- DAFOM (dafom[.]desarrollador)
- TokenAIS (tokenais[.]com)
- CryptAIS (criptais[.]com)
- AlticGO (alticgo[.]com)
- Esilet (esilet[.]com), y
- CreAI Deck (creaideck)[.]com)
La divulgación se produce menos de una semana después de que el Departamento del Tesoro atribuyó el robo de criptomonedas de Ronin Network de Axie Infinity al Grupo Lazarus, sancionando la dirección de la billetera utilizada para recibir los fondos robados.
“Actores cibernéticos patrocinados por el estado de Corea del Norte usar una gama completa de tácticas y técnicas para explotar redes informáticas de interés, adquirir propiedad intelectual sensible de criptomonedas y obtener activos financieros”, dijeron las agencias.
“Es probable que estos actores continúen explotando las vulnerabilidades de las empresas de tecnología de criptomonedas, las empresas de juegos y los intercambios para generar y lavar fondos para apoyar al régimen de Corea del Norte”.