Ciberdelincuentes están usando una aplicación falsa para vulnerar redes y robar criptomonedas
El grupo de hackers de Corea del Norte ‘Lazarus’ está vinculado a un nuevo ataque que difunde aplicaciones de criptomonedas falsas bajo la marca inventada, “BloxHolder”. El objetivo de los hackers es instalar el malware AppleJeus para obtener acceso inicial a las redes y robar activos de criptomonedas.
Según un informe conjunto del FBI y la CISA de febrero de 2021, AppleJeus ha estado en circulación desde al menos 2018. Este malware es utilizado por Lazarus en operaciones de secuestro de criptomonedas y robo de activos digitales.
Un nuevo informe de Volexity ha identificado nuevos criptoprogramas falsos y actividad de AppleJeus, con signos de evolución en la cadena de infección y las capacidades del malware.
Un nuevo informe de Volexity ha identificado nuevos criptoprogramas falsos y actividad de AppleJeus. Estos muestran signos de evolución en la cadena de infección y las capacidades del malware.
Nueva campaña BloxHolder
La nueva campaña atribuida a Lazarus comenzó en junio de 2022 y estuvo activa al menos hasta octubre de 2022.
En esta campaña, los ciberdelincuentes utilizaron el dominio “bloxholder[.]com“, un clon de la plataforma de comercio de criptomonedas automatizada HaasOnline.
Este sitio web distribuyó un instalador MSI de Windows de 12.7 MB que pretendía ser la aplicación de BloxHolder. Sin embargo, en realidad, era el malware AppleJeus incluido con la aplicación QTBitcoinTrader.
En octubre de 2022, el grupo de hacking evolucionó su campaña para usar documentos de Microsoft Office en lugar del instalador MSI para distribuir el malware.
El documento de 214 KB era llamado’OKX Binance & Huobi VIP fee comparision.xls‘ y contenía un macro que creaba tres archivos en la computadora de un objetivo.
Volexity no pudo recuperar el payload final de esta cadena de infección posterior, pero notaron similitudes en el mecanismo de carga lateral de DLL encontrado en los ataques del instalador MSI utilizados anteriormente, por lo que confían en que es la misma campaña. Algunas de las razones de Volexity para asegurar que es la misma campaña son las siguientes:
- El patrón de nombre de archivo usado para el payload (usando un formato de estilo UUID)
- Los argumentos de la línea de comandos (<ejecutable> <nombre de archivo> <clave xor>)
- El comportamiento de la biblioteca de carga lateral
- Similitudes significativas en el código entre “
DUser.dll” y “wsock32.dll“ - El mismo nombre interno de “dll”
Tras la instalación a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta “%APPDATA%\Roaming\Bloxholder\“.
Acciones del malware
Luego, el malware recopila la dirección MAC, el nombre de la computadora y la versión del sistema operativo y lo enviará al servidor de comando y control (C2) a través de una solicitud POST, probablemente para identificar si se está ejecutando en una máquina virtual o en un entorno aislado.
Un elemento novedoso en las campañas recientes es la carga lateral de DLL encadenada para cargar el malware desde un proceso confiable, evadiendo la detección de antivirus.
“Específicamente, “
CameraSettingsUIHost.exe” carga el archivo “dui70.dll” del directorio “System32“. Esto provoca la carga del archivo malicioso “DUser.dll” del directorio de la aplicación en el proceso “CameraSettingsUIHost.exe“.“El archivo “
Explicación de Volexitydui70.dll” es el “Windows DirectUI Engine” y normalmente se instala como parte del sistema operativo”.
Volexity dice que la razón por la que Lazarus optó por la carga lateral de DLL encadenada no está clara, pero podría ser para impedir el análisis de malware.
Otra característica nueva en las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo personalizado. Esto las hace más sigilosas frente a los productos de seguridad.
Según los investigadores, Lazarus continúa su esfuerzo por atacar a los usuarios de criptomonedas, a pesar de la atención continua a sus campañas y tácticas. Tal vez en un intento de eludir a la detección, han decidido usar la carga lateral de DLL encadenada para cargar su payload. Además, Volexity no ha notado previamente el uso de documentos de Microsoft Office para implementar variantes de AppleJeus. A pesar de estos cambios, sus objetivos siguen siendo los mismos, con la industria de las criptomonedas como un medio para que la República de Corea del Norte refuerce sus finanzas.
¿Quién es Lazarus Group?
Lazarus Group (también identificado como ZINC) es un grupo de hackers de Corea del Norte que ha estado activo desde al menos 2009.
El grupo ganó notoriedad después de hackear Sony Films en la Operation Blockbuster y la campaña global de ransomware WannaCry de 2017 que cifró empresas en todo el mundo.
Google descubrió en enero de 2021 que Lazarus estaba creando personas en línea falsas para atacar a los investigadores de seguridad en ataques de ingeniería social que instalaban puertas traseras en sus dispositivos. En marzo de 2021 se descubrió un segundo ataque con esta táctica.
El gobierno de Estados Unidos sancionó al grupo de hackers Lazarus en septiembre de 2019. Y, actualmente ofrece una recompensa de hasta 5 millones de dólares por información que pueda interrumpir sus actividades.
Los ataques más recientes se han centrado en la difusión de billeteras de criptomonedas troyanizadas y aplicaciones comerciales que roban las claves privadas de las personas y vacían sus criptoactivos.
En abril, el gobierno de Estados Unidos vinculó a Lazarus Group con un ciberataque a Axie Infinity que les permitió robar más de $617 millones en tokens de Ethereum y USDC.
Más tarde se reveló que el ataque de Axie Infinity fue posible gracias a un ataque de phishing que contenía un archivo PDF malicioso que pretendía ser una oferta de trabajo enviada a uno de los ingenieros de la empresa.
