A mediados de diciembre del año pasado, se subió un archivo sospechoso a VirusTotal, el servicio online que analiza los archivos en busca de malware. A simple vista, parecía un instalador de monedero de criptomonedas, pero nuestros expertos lo analizaron y descubrieron que, además del monedero, también enviaba malware al dispositivo del usuario. Además, parece que el programa no es obra de unos delincuentes de poca monta, sino de los ciberdelincuentes del grupo Lazarus.
¿Qué es Lazarus?
Lazarus es un grupo de APT (son las siglas en inglés de Amenaza Persistente Avanzada) Este tipo de grupos son organizaciones de ciberdelincuentes que suelen estar bien financiadas, desarrollan malware complejo y se especializan en ataques dirigidos, por ejemplo, para el espionaje industrial o político. El robo de dinero, si es que les interesa, no suele ser su objetivo principal.
Sin embargo, Lazarus es un grupo de APT que persigue activamente el dinero de los demás. Por ejemplo, en el 2016, el grupo se hizo con una buena suma del Banco Central de Bangladesh, en el 2018 infectó un exchange de criptomonedas con malware y en el 2020 probó suerte con el ransomware.
Un monedero DeFi con puerta trasera
El archivo que llamó la atención colectiva de nuestros investigadores contenía un instalador para un monedero de criptomonedas descentralizado legítimo, pero estaba infectado. DeFi (la abreviatura en inglés de finanzas descentralizadas) es un modelo financiero en el que no hay intermediarios como los bancos y todas las transacciones se realizan directamente entre los usuarios. Esta tecnología ha ido adquiriendo popularidad en los últimos años, de hecho, según Forbes, de mayo del 2020 a mayo del 2021, el valor de los activos ubicados en los sistemas DeFi aumentó 88 veces. Por ello, no sorprende que las DeFi estén atrayendo el interés de los ciberdelincuentes.
No queda del todo claro cómo persuaden exactamente los ciberdelincuentes a las víctimas para que descarguen y ejecuten el archivo infectado. Sin embargo, nuestros expertos suponen que los atacantes envían a los usuarios correos electrónicos dirigidos o mensajes en las redes sociales. A diferencia de los envíos masivos, estos mensajes se adaptan a un destinatario específico y pueden parecer muy plausibles.
En cualquier caso, cuando el usuario ejecuta el instalador, crea dos ejecutables: un programa malicioso y un instalador limpio de un monedero de criptomonedas. El malware se hace pasar por el navegador Google Chrome e intenta ocultar la existencia del instalador infectado copiando un instalador limpio en su lugar, que ejecuta inmediatamente para que el usuario no sospeche nada. Una vez que el monedero se instala correctamente, el malware continúa ejecutándose en segundo plano.
¿Es peligroso?
El malware que se adentra en el ordenador con la billetera DeFi es una puerta trasera. Dependiendo de la intención del operador, esta puerta trasera puede recopilar información o proporcionar control remoto sobre el dispositivo. En concreto, puede:
• Iniciar y terminar procesos.
• Ejecutar comandos en el dispositivo.
• Descargar archivos en el dispositivo, eliminarlos o enviarlos desde el dispositivo al servidor de mando y control.
En otras palabras, en caso de un ataque exitoso, el malware puede desactivar el antivirus y robar lo que quiera, desde documentos valiosos hasta cuentas y dinero. También puede descargar otros programas maliciosos en el ordenador si lo consideran conveniente los ciberdelincuentes. Como siempre, para más información técnica sobre el troyano, visita nuestro artículo en el blog Securelist.
Cómo no caer en la trampa
Si estás en el mundo de las finanzas y, sobre todo, en el de las criptomonedas, ten cuidado con los mensajes que intenten persuadirte para que instales programas de fuentes no confiables. Además, asegúrate de que tus dispositivos sean seguros, especialmente los que usas para las transacciones de criptomonedas. Una solución de seguridad de confianza te ayudará en aquellos casos en los que no baste con prestar atención.