
Se ha observado que el actor de amenazas del Grupo Lazarus aprovecha aplicaciones de criptomonedas falsas como señuelo para entregar una versión previamente no documentada del malware AppleJeus, según nuevos hallazgos de Volexity.
“Esta actividad involucra en particular una campaña que probablemente se dirija a usuarios y organizaciones de criptomonedas con una variante del malware AppleJeus a través de documentos maliciosos de Microsoft Office”, los investigadores Callum Roxan, Paul Rascagneres y Robert Jan Mora. dijo.
Se sabe que el gobierno de Corea del Norte adopta un enfoque triple al emplear actividad cibernética maliciosa orquestada para recopilar inteligencia, realizar ataques y generar ingresos ilícitos para la nación afectada por las sanciones. Las amenazas se rastrean colectivamente bajo el nombre Grupo Lázaro (también conocido como Cobra Oculta o Zinc).
“Corea del Norte ha llevado a cabo robos cibernéticos contra instituciones financieras e intercambios de criptomonedas en todo el mundo, robando potencialmente cientos de millones de dólares, probablemente para financiar prioridades gubernamentales, como sus programas nucleares y de misiles”, según la Evaluación Anual de Amenazas 2021 publicada por las agencias de inteligencia de EE. UU.
A principios de abril, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés) advirtió sobre un grupo de actividad denominado TraderTraitor que se dirige a los intercambios de criptomonedas y a las empresas comerciales a través de aplicaciones criptográficas troyanizadas para Windows y macOS.

Si bien los ataques de TraderTraitor culminan con la implementación del troyano de acceso remoto Manuscrypt, la nueva actividad utiliza un supuesto sitio web de intercambio de criptomonedas llamado BloxHolder, una copia de la plataforma legítima de HaasOnline, para entregar AppleJeus a través de un archivo de instalación.
AppleJeus, documentado por primera vez por Kaspersky en 2018, está diseñado para recopilar información sobre el sistema infectado (es decir, la dirección MAC, el nombre de la computadora y la versión del sistema operativo) y descargar el código shell desde un servidor de comando y control (C2).
Se dice que la cadena de ataque experimentó una ligera desviación en octubre de 2022, cuando el adversario pasó de los archivos de instalación de MSI a un documento de Microsoft Excel con una trampa explosiva que utiliza macros para descargar una carga útil alojada de forma remota, una imagen PNG, desde OpenDrive.
Es probable que la idea detrás del cambio reduzca la detección estática por parte de los productos de seguridad, dijo Volexy, y agregó que no pudo obtener el archivo de imagen (“Background.png”) del enlace de OpenDrive, pero señaló que incrusta tres archivos, incluida una carga útil codificada que es posteriormente extraído y lanzado en el host comprometido.
“El Grupo Lazarus continúa su esfuerzo por apuntar a los usuarios de criptomonedas, a pesar de la atención continua a sus campañas y tácticas”, concluyeron los investigadores.






