Fue descubierta una campaña maliciosa del grupo Lazarus, una Amenaza Persistente Avanzada (APT) dirigida a inversores en criptomonedas en todo el mundo. Los atacantes utilizaron un sitio web falso de un criptojuego que explotaba una vulnerabilidad de día cero en Google Chrome para instalar software espía (spyware) y robar credenciales de billeteras, informó el equipo de Investigación y Análisis Global de Kaspersky (GReAT)
En principio, en mayo de 2024, al analizar incidentes dentro de la telemetría de Kaspersky Security Network, los expertos identificaron un ataque que utilizaba el malware Manuscrypt, el cual ha sido usado por el grupo Lazarus desde 2013 y ha sido documentado por la firma en más de 50 campañas únicas dirigidas a diversas industrias. Un análisis más detallado reveló una campaña maliciosa sofisticada que dependía en gran medida de técnicas de ingeniería social y de inteligencia artificial generativa para atacar a los inversores en criptomonedas.
Puedes leer: Atento con las llantas de su vehículo
Destacaron que el grupo Lazarus es conocido por sus ataques altamente avanzados contra plataformas de criptomonedas y tiene un historial de uso de exploits de día cero.
Esta campaña recién descubierta siguió el mismo patrón: los investigadores encontraron que los atacantes explotaron dos vulnerabilidades, incluyendo un error de confusión de tipos previamente desconocido en V8, el motor de JavaScript y WebAssembly de código abierto de Google.
Esta vulnerabilidad de día cero fue catalogada como CVE-2024-4947 y solucionada después de que la reportara a Google. Permitía a los atacantes ejecutar código arbitrario, eludir funciones de seguridad y llevar a cabo diversas actividades maliciosas. Otra vulnerabilidad fue utilizada para eludir la protección del sandbox de V8 en Google Chrome.
Cuide sus criptomonedas
Además, los atacantes explotaron esta vulnerabilidad a través de un sitio web de juego falso que invitaba a los usuarios a competir globalmente con tanques NFT. Se enfocaron en generar un sentido de confianza para maximizar la efectividad de la campaña, diseñando detalles para que las actividades promocionales parecieran lo más genuinas posible.
Lo anterior incluyó la creación de cuentas en redes sociales en X (anteriormente conocido como Twitter) y LinkedIn para promocionar el juego durante varios meses, utilizando imágenes generadas por IA para mejorar la credibilidad. Lazarus ha integrado la inteligencia artificial generativa en sus operaciones y los expertos anticipan que los criminales idearán ataques aún más sofisticados utilizando esta tecnología.
Puedes leer: Bancolombia se transformó en Grupo Cibest
Los ciberdelincuentes también intentaron involucrar a influencers de criptomonedas para una promoción adicional, aprovechando su presencia en las redes sociales no solo para distribuir la amenaza sino también para apuntar directamente a sus cuentas de criptomonedas.