Un grupo de hackers norcoreanos ha estado atacando a desarrolladores de criptomonedas mediante una nueva estafa de reclutamiento de empleo que inyecta malware para robar información en el sistema de la víctima.
Según un informe reciente de la firma de ciberseguridad Palo Alto Networks’ Unit 42, el grupo de hackers maliciosos, conocido con alias como Slow Pisces, Jade Sleet, PUKCHONG, TraderTraitor o UNC4899, se ha estado haciendo pasar por reclutadores en LinkedIn.
Una vez establecido el contacto, los desarrolladores son atraídos con ofertas de trabajo falsas, seguidas de una prueba de codificación aparentemente rutinaria.
Pero oculto dentro de estos proyectos alojados en GitHub se encuentra un kit de herramientas de malware que roba información e infecta silenciosamente la máquina de la víctima.
Inicialmente, se pide a los candidatos que ejecuten un archivo que suele parecer una tarea de programación sencilla, pero una vez ejecutado en el sistema de la víctima, ejecuta un malware llamado RN Loader que envía información del sistema al atacante.
Si el objetivo resulta válido, se despliega una carga útil de segunda etapa, RN Stealer, que puede recopilar todo tipo de información, desde claves SSH y datos de iCloud hasta archivos de configuración de Kubernetes y AWS.
Lo que hace que esta campaña sea especialmente peligrosa es su naturaleza sigilosa, ya que el malware solo se activa bajo ciertas condiciones, como la dirección IP o la configuración del sistema, lo que dificulta su detección por parte de los investigadores.
También se ejecuta completamente en memoria, dejando una huella digital mínima.
El lento Piscis ha sido vinculado a robos de alto perfil, incluyendo el exploit de Bybit de 1.400 millones de dólares a principios de este año.
Las tácticas del grupo no han cambiado mucho con el tiempo, lo que, según Unit 42, puede deberse a la eficacia y precisión de sus métodos.
“Antes del hackeo de Bybit, había muy poca conciencia y reportes detallados de la campaña en fuentes abiertas, por lo que es posible que los actores de la amenaza no sintieran la necesidad de cambiar”, según Andy Piazza, director sénior de Inteligencia de Amenazas en Unit 42.
Por el contrario, según los investigadores, los actores de amenazas incluso mejoraron su seguridad operativa y se les vio utilizando trucos de plantillas YAML y JavaScript para ocultar comandos maliciosos.
“Centrarse en individuos contactados a través de LinkedIn, en lugar de en campañas de phishing masivas, permite al grupo controlar estrechamente las etapas posteriores de la campaña y entregar las cargas útiles solo a las víctimas esperadas”, añadió el investigador de seguridad Prashil Pattni.
Hackers norcoreanos atacan a profesionales de TI
Grupos de hackers norcoreanos han sido responsables de algunos de los mayores robos cibernéticos en el sector de las criptomonedas.
Datos de Arkham Intelligence muestran que una billetera vinculada al Grupo Lazarus de Corea del Norte tenía más de 800 millones de dólares en Bitcoin en el momento del informe.
Un informe del Grupo de Inteligencia de Amenazas de Google publicado a principios de este mes señaló un aumento en el número de trabajadores de TI norcoreanos que se infiltran en empresas tecnológicas y de criptomonedas, especialmente en Europa.
El año pasado, Invezz informó que dos grupos de hackers con los alias Sapphire Sleet y Ruby Sleet fueron responsables de pérdidas significativas en el espacio criptográfico.
Se descubrió que actores maliciosos se hacían pasar por reclutadores, inversores e incluso empleados de las empresas objetivo para eludir los controles de seguridad iniciales e instalar malware.
Sapphire Sleet se centró principalmente en empresas de criptomonedas y, según se informa, logró canalizar al menos 10 millones de dólares de vuelta al régimen norcoreano en seis meses.
The post Así es como los hackers norcoreanos detrás del robo de 1.400 millones de dólares a Bybit están atacando a los desarrolladores de criptomonedas. appeared first on Invezz
