El ejército digital de Corea del Norte tiene un nuevo objetivo: ¡Bitcoin! Una mirada al interior de su operación más reciente y aún activa ...

Son conocidos dentro de la darknet underground como "The Lazarus Group", pero las fuentes de inteligencia dicen que son el ejército digital de Corea del Norte. Es posible que haya escuchado el nombre antes en el infame hack de 2014 de Sony Pictures.

Pero su última operación tiene un nuevo objetivo: la criptomoneda, y fue descubierta por la empresa de seguridad cibernética Secureworks.

El foco del ataque son los ejecutivos de las empresas financieras que poseen y administran criptomonedas, y funciona de esta manera: un ejecutivo recibe un correo electrónico, que indica que hay una oportunidad para ascender en las filas y convertirse en el Director Financiero de la compañía.

Hay un archivo adjunto en forma de archivo de Microsoft Word. Cuando se abre, recibe una notificación "la edición debe estar habilitada para ver el documento" y cuando el usuario hace clic en "Aceptar", se inicia un script incrustado que hace 2 cosas.

Primero, crea y luego abre un documento inofensivo: una descripción real del trabajo para mantener al usuario distraído y poco sospechoso.

En segundo lugar, lanza en secreto la instilación de un virus troyano.

El documento de descripción de trabajo de aspecto inofensivo (Imagen: Secureworks)

El virus está diseñado para brindar acceso remoto completo a los piratas informáticos. La computadora ahora está completamente bajo su control: pueden registrar lo que se está escribiendo, ver qué hay en la pantalla e incluso instalar más malware si lo desean.

Si bien los troyanos de acceso remoto no son nada nuevo e incluso se pueden comprar y vender en foros subterráneos de darknet, lo que destaca de este es que no parece ser una variación de troyanos previamente conocidos: este parece haber sido recientemente codificado desde cero .

Al evaluar el código, Secureworks Counter Threat Unit reconoció algo de las operaciones anteriores de Corea del Norte: es una gran dependencia del protocolo C2, que The Lazarus Group ha utilizado en el pasado para comunicarse con sus principales servidores de comando y control.

Los primeros descubrimientos de este nuevo ataque comenzaron en octubre y continúan hoy.

Se recomienda a aquellos que sienten que podrían ser el objetivo de tales ataques que se aseguren de que las macros estén deshabilitadas en Microsoft Word y que requieran autenticación de dos factores en sistemas con datos confidenciales.

-------
Escrito por: Ross Davis
Escritorio de noticias de San Francisco