Notorious Lazarus Group intentó ciberataque, alega cofundador de deBridge

El "Grupo Lazarus", un notorio sindicato de piratas informáticos respaldado por Corea del Norte, ha sido identificado como el culpable de un intento de ciberataque contra deBridge Finance. El cofundador del protocolo de cadena cruzada y líder del proyecto, Alex Smirnov, alegó que el vector de ataque fue a través de un correo electrónico en el que varios miembros del equipo recibieron un archivo PDF llamado "Nuevos ajustes salariales" de una dirección falsificada que reflejaba la del propio ejecutivo.

Si bien deBridge Finance logró frustrar el ataque de phishing, Smirnov advirtió que la campaña fraudulenta probablemente se haya generalizado y esté dirigida a plataformas enfocadas en Web3.

Intento de ataque a deBridge

Según un largo Twitter o fresa de hueso denso por el ejecutivo, la mayoría de los miembros del equipo marcaron de inmediato el correo electrónico sospechoso, pero uno descargó y abrió el archivo. Esto les ayudó a investigar el vector de ataque y comprender sus consecuencias.

Smirnov explicó además que los usuarios de macOS están seguros, ya que abrir el enlace en una Mac conduciría a un archivo zip con el archivo PDF normal Adjustments.pdf. Por otro lado, los sistemas Windows no son inmunes a los peligros. En cambio, los usuarios de Windows serán dirigidos a un archivo con un pdf dudoso protegido por contraseña con el mismo nombre y un archivo adicional llamado Password.txt.lnk.

El archivo de texto esencialmente infectaría el sistema. Como tal, la falta de software antivirus ayudará al archivo malicioso a penetrar en la máquina y se guardará en la carpeta de inicio automático, luego de lo cual un simple script comenzará a enviar solicitudes repetitivas para comunicarse con el atacante a fin de recibir instrucciones.

"El vector de ataque es el siguiente: el usuario abre un enlace desde el correo electrónico -> descarga y abre el archivo -> intenta abrir el PDF, pero el PDF solicita una contraseña -> el usuario abre password.txt.lnk e infecta todo el sistema".

Luego, el cofundador instó a las empresas y sus empleados a que nunca abran archivos adjuntos de correo electrónico sin verificar la dirección de correo electrónico completa del remitente y que tengan un protocolo interno sobre cómo los equipos comparten los archivos adjuntos.

“Manténgase SAFU y comparta este hilo para que todos sepan sobre posibles ataques”.

Atacantes de Lazarus apuntando a criptomonedas

Los grupos de piratería de Corea del Norte patrocinados por el estado son famosos por realizar ataques con fines financieros. Lazarus, por su parte, llevó a cabo muchos ataques de alto perfil en intercambios de cifrado, mercados NFT e inversores individuales con participaciones significativas. El último ataque parece tener un parecido significativo con los anteriores realizados por el sindicato de hackers.

En medio del brote de COVID-19, los delitos cibernéticos liderados por Lazarus Sierra una tendencia alcista masiva. Más recientemente, el grupo robó más de $620 millones del puente Ronin de Axie Infinity a principios de este año.

De hecho, los informes también género que el programa cibernético del país es grande y está bien organizado a pesar de estar económicamente aislado del resto del mundo. Según múltiples fuentes del gobierno de EE. UU., estas entidades también se han adaptado a Web3 y actualmente están apuntando al espacio de finanzas descentralizadas.