Se ha observado que un actor de amenazas con v\u00ednculos con la Rep\u00fablica Popular Democr\u00e1tica de Corea (RPDC) apunta a empresas relacionadas con criptomonedas con un malware de m\u00faltiples etapas capaz de infectar dispositivos Apple macOS<\/a>.<\/p>\n La empresa de ciberseguridad SentinelOne, que denomin\u00f3 la campa\u00f1a Riesgo oculto<\/strong>lo atribuy\u00f3 con gran confianza a BlueNoroff, que anteriormente se hab\u00eda vinculado a familias de malware como RustBucket, KANDYKORN, ObjCShellz, RustDoor (tambi\u00e9n conocido como Thiefbucket) y TodoSwift.<\/p>\n La actividad “utiliza correos electr\u00f3nicos que propagan noticias falsas sobre tendencias en criptomonedas para infectar objetivos a trav\u00e9s de una aplicaci\u00f3n maliciosa disfrazada de archivo PDF”, afirman los investigadores Raffaele Sabato, Phil Stokes y Tom Hegel. dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n “La campa\u00f1a probablemente comenz\u00f3 en julio de 2024 y utiliza correos electr\u00f3nicos y PDF como se\u00f1uelos con titulares de noticias falsos o historias sobre temas relacionados con las criptomonedas”.<\/p>\n Como revel\u00f3<\/a> Seg\u00fan la Oficina Federal de Investigaciones (FBI) de EE. UU. en un aviso de septiembre de 2024, estas campa\u00f1as son parte de ataques de “ingenier\u00eda social altamente personalizados y dif\u00edciles de detectar” dirigidos a empleados que trabajan en los sectores de finanzas descentralizadas (DeFi) y criptomonedas.<\/p>\n Los ataques toman la forma de oportunidades laborales falsas o inversiones corporativas, interactuando con sus objetivos durante per\u00edodos prolongados para generar confianza antes de distribuir malware.<\/p>\n SentinelOne dijo que observ\u00f3 un intento de phishing por correo electr\u00f3nico en una industria relacionada con las criptomonedas a finales de octubre de 2024 que entregaba una aplicaci\u00f3n cuentagotas que imitaba un archivo PDF (“Riesgo oculto detr\u00e1s del nuevo aumento de Bitcoin Price.app”) alojado en delphidigital.[.]org.<\/p>\n Se descubri\u00f3 que la aplicaci\u00f3n, escrita en el lenguaje de programaci\u00f3n Swift, estaba firmada y certificada ante notario el 19 de octubre de 2024, con el ID de desarrollador de Apple “Avantis Regtech Private Limited (2S8XHJ7948)”. Desde entonces, el fabricante del iPhone ha revocado la firma.<\/p>\n Al iniciarse, la aplicaci\u00f3n descarga y muestra a la v\u00edctima un archivo PDF se\u00f1uelo recuperado de Google Drive, mientras recupera de forma encubierta un ejecutable de segunda etapa de un servidor remoto y lo ejecuta. Un ejecutable Mach-O x86-64, el binario sin firmar basado en C++ act\u00faa como una puerta trasera para ejecutar comandos remotos.<\/p>\n La puerta trasera tambi\u00e9n incorpora un novedoso mecanismo de persistencia que abusa del archivo de configuraci\u00f3n zshenv, lo que marca la primera vez que los autores de malware abusan de la t\u00e9cnica en la naturaleza.<\/p>\n “Tiene un valor particular en las versiones modernas de macOS desde que Apple introdujo notificaciones de usuario para elementos de inicio de sesi\u00f3n en segundo plano a partir de macOS 13 Ventura”, dijeron los investigadores.<\/p>\n “La notificaci\u00f3n de Apple tiene como objetivo advertir a los usuarios cuando se instala un m\u00e9todo de persistencia, particularmente LaunchAgents y LaunchDaemons, de los que se abusa con frecuencia. Sin embargo, abusar de Zshenv no activa dicha notificaci\u00f3n en las versiones actuales de macOS”.<\/p>\n Tambi\u00e9n se ha observado que el actor de amenazas utiliza el registrador de dominios Namecheap para establecer una infraestructura centrada en temas relacionados con criptomonedas, Web3 e inversiones para darle un barniz de legitimidad. Quickpacket, Routerhosting y Hostwinds se encuentran entre los proveedores de alojamiento m\u00e1s utilizados.<\/p>\n Vale la pena se\u00f1alar que la cadena de ataque comparte cierto nivel de superposici\u00f3n con una campa\u00f1a anterior que Kandji destac\u00f3 en agosto de 2024, que tambi\u00e9n emple\u00f3 una aplicaci\u00f3n cuentagotas de macOS con un nombre similar “Los factores de riesgo para la ca\u00edda del precio de Bitcoin est\u00e1n surgiendo (2024).app” para implementar TodoSwift. .<\/p>\n No est\u00e1 claro qu\u00e9 impuls\u00f3 a los actores de amenazas a cambiar sus t\u00e1cticas, y si fue en respuesta a informes p\u00fablicos. “Los actores norcoreanos son conocidos por su creatividad, adaptabilidad y conocimiento de los informes sobre sus actividades, por lo que es muy posible que simplemente estemos viendo diferentes m\u00e9todos exitosos que emergen de su programa cibern\u00e9tico ofensivo”, dijo Stokes a The Hacker News.<\/p>\n Otro aspecto preocupante de la campa\u00f1a es la capacidad de BlueNoroff para adquirir o secuestrar cuentas v\u00e1lidas de desarrolladores de Apple y utilizarlas para que Apple certifique ante notario su malware.<\/p>\n “Durante los \u00faltimos 12 meses aproximadamente, los ciberactores norcoreanos han participado en una serie de campa\u00f1as contra las industrias relacionadas con las criptomonedas, muchas de las cuales implicaron una amplia ‘preparaci\u00f3n’ de objetivos a trav\u00e9s de las redes sociales”, dijeron los investigadores.<\/p>\n “La campa\u00f1a Riesgo Oculto se desv\u00eda de esta estrategia adoptando un enfoque de phishing por correo electr\u00f3nico m\u00e1s tradicional y m\u00e1s crudo, aunque no necesariamente menos efectivo. A pesar de la brusquedad del m\u00e9todo de infecci\u00f3n inicial, otras caracter\u00edsticas de campa\u00f1as anteriores respaldadas por la RPDC son evidentes”.<\/p>\n El desarrollo tambi\u00e9n se produce en medio de otras campa\u00f1as orquestadas por piratas inform\u00e1ticos norcoreanos para buscar empleo en varias empresas de Occidente y entregar malware utilizando bases de c\u00f3digo con trampas explosivas y herramientas de conferencia a posibles solicitantes de empleo con el pretexto de un desaf\u00edo de contrataci\u00f3n o una asignaci\u00f3n.<\/p>\n Los dos conjuntos de intrusi\u00f3n, denominados Wagemole (tambi\u00e9n conocido como UNC5267) y Contagious Interview, se han atribuido a un grupo de amenazas rastreado como Famous Chollima (tambi\u00e9n conocido como CL-STA-0240 y Tenacious Pungsan).<\/p>\n ESET, que le ha dado el apodo a Contagious Interview Enga\u00f1osoDesarrollo<\/a>lo ha clasificado como un nuevo grupo de actividades del Grupo Lazarus que se centra en desarrolladores independientes de todo el mundo con el objetivo de robar criptomonedas.<\/p>\n “Las campa\u00f1as Contagious Interview y Wagemole muestran las t\u00e1cticas en evoluci\u00f3n de los actores de amenazas norcoreanos a medida que contin\u00faan robando datos, obteniendo trabajos remotos en pa\u00edses occidentales y eludiendo sanciones financieras”, dijo el investigador de Zscaler ThreatLabz, Seongsu Park. dicho<\/a> a principios de esta semana.<\/p>\n “Con t\u00e9cnicas de ofuscaci\u00f3n refinadas, compatibilidad multiplataforma y robo de datos generalizado, estas campa\u00f1as representan una amenaza creciente tanto para las empresas como para los individuos”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/11\/Los-piratas-informaticos-norcoreanos-atacan-a-las-empresas-de-cifrado.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n