Lazarus APT explotó una vulnerabilidad de día cero en Chrome para robar criptomonedas
Escrito por Jose de Jesus Prieto on 31/10/2024
Importante grupo de Amenazas Avanzadas Persistentes usa un juego falso en línea
promocionado en redes sociales con imágenes generadas por IA para robar criptomonedas.
Octubre de 2024
El equipo de Investigación y Análisis Global de Kaspersky (GReAT) descubrió una sofisticada
campaña maliciosa del grupo Lazarus, una Amenaza Persistente Avanzada (APT) dirigida a
inversores en criptomonedas en todo el mundo. Los atacantes utilizaron un sitio web falso de
un criptojuego que explotaba una vulnerabilidad de día cero en Google Chrome para instalar
software espía (spyware) y robar credenciales de billeteras.
En mayo de 2024, al analizar incidentes dentro de la telemetría de Kaspersky Security
Network, los expertos identificaron un ataque que utilizaba el malware Manuscrypt, el cual ha
sido usado por el grupo Lazarus desde 2013 y ha sido documentado por Kaspersky GReAT
en más de 50 campañas únicas dirigidas a diversas industrias. Un análisis más detallado
reveló una campaña maliciosa sofisticada que dependía en gran medida de técnicas de
ingeniería social y de inteligencia artificial generativa para atacar a los inversores en
criptomonedas.
El grupo Lazarus es conocido por sus ataques altamente avanzados contra plataformas de
criptomonedas y tiene un historial de uso de exploits de día cero. Esta campaña recién
descubierta siguió el mismo patrón: los investigadores de Kaspersky encontraron que los
atacantes explotaron dos vulnerabilidades, incluyendo un error de confusión de tipos
previamente desconocido en V8, el motor de JavaScript y WebAssembly de código abierto de
Google. Esta vulnerabilidad de día cero fue catalogada como CVE-2024-4947 y solucionada
después de que Kaspersky la reportara a Google. Permitía a los atacantes ejecutar código
arbitrario, eludir funciones de seguridad y llevar a cabo diversas actividades maliciosas. Otra
vulnerabilidad fue utilizada para eludir la protección del sandbox de V8 en Google Chrome.
Los atacantes explotaron esta vulnerabilidad a través de un sitio web de juego falso que
invitaba a los usuarios a competir globalmente con tanques NFT. Se enfocaron en generar un
sentido de confianza para maximizar la efectividad de la campaña, diseñando detalles para
que las actividades promocionales parecieran lo más genuinas posible. Esto incluyó la
creación de cuentas en redes sociales en X (anteriormente conocido como Twitter) y LinkedIn
para promocionar el juego durante varios meses, utilizando imágenes generadas por IA para
mejorar la credibilidad. Lazarus ha integrado con éxito la inteligencia artificial generativa en
sus operaciones y los expertos de Kaspersky anticipan que los criminales idearán ataques
aún más sofisticados utilizando esta tecnología.
Los ciberdelincuentes también intentaron involucrar a influencers de criptomonedas para una
promoción adicional, aprovechando su presencia en las redes sociales no solo para distribuir
la amenaza sino también para apuntar directamente a sus cuentas de criptomonedas.
“Si bien hemos visto actores de Amenazas Persistentes Avanzadas buscando ganancias
financieras anteriormente, esta campaña fue única. Los atacantes fueron más allá de las
tácticas habituales al usar un juego completamente funcional como fachada para explotar una
vulnerabilidad de día cero en Google Chrome e infectar los sistemas objetivo. Con actores
notorios como Lazarus, incluso acciones aparentemente inofensivas, como hacer clic en un
enlace en una red social o en un correo electrónico, pueden resultar en el compromiso total de
una computadora personal o una red corporativa completa. El esfuerzo significativo invertido
en esta campaña sugiere que tenían planes ambiciosos y el impacto real podría ser mucho
más amplio, afectando potencialmente a usuarios y empresas en todo el mundo”, comentó
Boris Larin, Experto Principal en Seguridad del GReAT de Kaspersky.
Los expertos de Kaspersky descubrieron un juego legítimo que parecía haber sido un
prototipo para la versión de los atacantes. Poco después de que los criminales lanzaran la
campaña de promoción de su juego, los desarrolladores del juego real afirmaron que se
habían transferido $20,000 dólares en criptomonedas desde su billetera. El diseño del juego
falso se asemejaba estrechamente al original, diferenciándose solo en la ubicación del
logotipo y la calidad visual. Dadas estas similitudes y las coincidencias en el código, los
expertos de Kaspersky enfatizan que los miembros de Lazarus hicieron grandes esfuerzos
para dar credibilidad a su ataque. Crearon un juego falso utilizando código fuente robado,
reemplazando logotipos y todas las referencias al juego legítimo para mejorar la ilusión de
autenticidad en su versión casi idéntica.
Los detalles de la campaña maliciosa se presentaron en la Cumbre de Analistas de Seguridad
en Bali y ahora el informe completo está disponible en Securelist.com.
Acerca del Equipo de Investigación y Análisis Global
Establecido en 2008, el Equipo de Investigación y Análisis Global (GReAT) opera en el corazón de
Kaspersky, descubriendo APTs, campañas de ciberespionaje, malware importante, ransomware y
tendencias de ciberdelincuencia subterránea en todo el mundo. Hoy, GReAT cuenta con más de 40
expertos que trabajan globalmente, en Europa, Rusia, América Latina, Asia y Medio Oriente. Los
talentosos profesionales de seguridad proporcionan liderazgo en investigación antimalware e
innovación, aportando una experiencia, pasión y curiosidad incomparables para el descubrimiento y
análisis de ciberamenazas.
Acerca de Kaspersky
Kaspersky es una empresa global de ciberseguridad y privacidad digital fundada en 1997. Con más de
mil millones dispositivos protegidos hasta la fecha contra ciberamenazas emergentes y ataques
dirigidos, la profunda experiencia en inteligencia de amenazas y seguridad de Kaspersky se está
continuamente transformando en innovadoras soluciones y servicios de seguridad para proteger a
empresas, infraestructuras críticas, gobiernos y consumidores en todo el mundo. El extenso portafolio
de productos de seguridad de la empresa incluye su reputada solución de protección para endpoints,
junto con una serie de soluciones y servicios de seguridad especializados, así como soluciones Cyber
Immune para combatir las sofisticadas y cambiantes amenazas digitales. Ayudamos a más de 200,000
clientes corporativos a proteger lo que más valoran. Obtenga más información en
https://latam.kaspersky.com
Kaspersky en redes sociales:
X: @KasperskyLatino IG: Kaspersky Latinoamérica
FB: KasperskyLabLatam IN: Kaspersky Lab Latinoamérica