Por Hannah Pérez Un grupo de hackers vinculados a Lazarus Group, registró entidades falsas en EE. UU. como parte de un esfuerzo elaborado para comprometer a desarrolladores de criptomonedas mediante ofertas engañosas de trabajo.
***
- Una elaborada campaña de piratería desde Corea del Norte incluye registro de entidades reales.
- Los atacantes crearon entidades en Nueva York y Nuevo México para apuntar a desarrolladores cripto.
- Es parte de una artimaña para robar criptomonedas mediante ofertas de trabajo engañosas.
Los piratas informáticos norcoreanos están perfeccionando sus elaborados trucos para robar criptomonedas, incluido crear entidades ficticias en los Estados Unidos como señuelos para apuntar a desarrolladores.
Un informe reciente de la firma de seguridad Silent Push, que fue recogido por varios medios de noticias, reveló que estos grupos de hackers registraron compañías fantasma en Nueva York y Nuevo México como parte de un esfuerzo elaborado para comprometer los equipos de desarrolladores de criptomonedas con malware —o software malicioso.
Las entidades Blocknovas y Softglide, registradas en Nuevo México y Nueva York, respectivamente fueron creados usando identidades y direcciones ficticias como parte de una campaña de piratería vinculada al Lazarus Group, según informes.
Los investigadores también habrían descubierto una tercera entidad, bajo el nombre de Angeloper Agency, vinculada igualmente a la campaña maliciosa, pero que no está registrada en los Estados Unidos.
El objetivo de establecer las entidades era tener un señuelo para poder inyectar virus informáticos en los equipos de desarrolladores de criptomonedas a través de falsas entrevistas de trabajo, según el equipo de Silent Push.
Hackers norcoreanos usan empresas reales de señuelo
La sofisticada artimaña emplea perfiles falsos al estilo de LinkedIn y publicaciones de trabajo en línea para atraer a los ingenieros de criptomonedas a entrevistas de trabajo. Luego, durante el proceso de reclutamiento, estos son engañados para que descarguen malware disfrazado de herramientas de solicitud de empleo.
El malware utilizado en la campaña, que, según detalló CoinDesk, incluye tres cepas de virus previamente vinculadas a las unidades cibernéticas de Corea del Norte, se utiliza para comprometer sus billeteras de activos digitales y robar credenciales para facilitar nuevos ataques a empresas legítimas de la industria.
Estos programas pueden robar datos, proporcionar acceso remoto a sistemas infectados y servir como puntos de entrada para spyware o ransomware adicional, agrega esa publicación.
Los hackers habrían aprovechado herramientas de inteligencia artificial (IA) para crear a los empleados falsos para los perfiles de la empresa con el objetivo de dar legitimidad a las ofertas de trabajo. También emplearon direcciones falsas para establecer las entidades.
“Este es un raro ejemplo de hackers norcoreanos que realmente logran establecer entidades corporativas legales en los Estados Unidos para crear frentes corporativos utilizados para atacar a solicitantes de empleo desprevenidos”, dijo Kasey Best, directora de inteligencia de amenazas de Silent Push, según cita el medio en cuestión.
El FBI se ha apoderado del dominio en la web de Blocknovas, reportó Reuters. Un aviso publicado en el sitio indica que fue retirado “como parte de una acción policial contra los actores cibernéticos de Corea del Norte que utilizaron este dominio para engañar a las personas con publicaciones de trabajo falsas y distribuir malware”.
Lazarus Group y sus masivos robos de criptomonedas
El uso de perfiles falsos en LinkedIn y ofertas de trabajo engañosas, no es nuevo por parte de los piratas informáticos norcoreanos, que durante años han estado perfeccionando sus campañas para atacar a usuarios desprevenidos y robar sus criptomonedas.
Hace unas semanas, el equipo de seguridad de Google advirtió que agentes cibernéticos de Corea del Norte se están infiltrando en empresas con sede en Europa utilizando identidades falsas, incluidos papeles de residencia ficticios y títulos universitarios ilegítimos. Ellos apuntan a compañías de Blockchain en países como Reino Unido, Alemania y Portugal con ofertas de trabajo remoto.
La infame organización de hackers Lazarus Group es posiblemente la más conocida por sus ataques de alto perfil a proyectos de criptomonedas. Entre ellos destaca el hackeo al puente Ronin de Axie Infinity en 2021, en el que una oferta de trabajo falsa comprometió a un empleado de Sky Mavis —la compañía detrás de Ronin— lo que le permitió a Lazarus robar USD $625 millones.
Otro éxito notable fue el hackeo del puente Horizon en 2022, donde tácticas similares condujeron a un robo de USD $100 millones de sistemas Harmonywars. Recientemente se identificó a Lazarus como el responsable de un robo masivo de más de USD $1,5 mil millones contra el intercambio centralizado Bybit, aunque no se encontró relación con campañas de trabajo.
Las operaciones de Lazarus han robado más de USD $3 mil millones en criptomonedas desde 2017, según las estimaciones de la ONU y Chainalysis, con ataques basados en ofertas falsas de trabajo que generan una parte significativa de estos ingresos.
Artículo de Hannah Estefanía Pérez / DiarioBitcoin
Imagen de Unsplash
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados
Polkadot
Nasdaq avanza con registro para ETF Polkadot de 21Shares
Cardano
Cardano se une a Polkadot para probar su última innovación: cadenas de socios
Avalanche
¿Qué es un “Re-entrancy attack”? Aprende como evitarlo en tus smart contracts
Blockchain