El nuevo esquema del grupo de piratas informáticos Lazarus es hacer click fraudulento a empleados de una casa de monedas digitales para robar Bitcoin.
No solamente las grandes bolsas y los gobiernos tienen la mira en el Bitcoin. El nuevo objetivo de Lazarus, un grupo ciberdelincuente que ha sido vinculado con el Gobierno norcoreano, son los empleados de al menos una empresa de criptodivisas en Londres, de acuerdo con la firma de ciberseguridad Secureworks. Y no parece que su interés ni el alza del Bitcoin vayan a detenerse, pues este viernes 15 de diciembre el Bitcoin ha superado por primera vez los 17.500 dólares.
El grupo está operando bajo un esquema de click fraudulento. A través de un correo electrónico, envía información sobre una supuesta oferta de trabajo para un puesto como Director de Finanzas (CFO, por sus siglas en inglés). Adjunto viene un Word de Microsoft que al abrir indica a la persona que tiene que activar la función de edición para poder ver el documento. Si la persona sigue estas instrucciones, mientras está mirando el documento, se instala un software malicioso oculto que permite a los hackers obtener control remoto del ordenador de la víctima. Con esto, pueden robarle información o documentos, así como descargar malware adicional en cualquier momento.
El código malicioso crea un documento de señuelo separado que contiene la descripción de un puesto falso como CFO en una empresa de Bitcoin en Europa. El señuelo parece estar basado en el perfil de LinkedIn de un CFO real en una firma de criptomonedas en el Lejano Oriente. Los investigadores señalan que el grupo Lazarus ya había usado el método de copiar y pegar descripciones de trabajo de sitios de reclutamiento como parte de campañas delictivas anteriores.
Este malware comparte enlaces técnicos usados antes por el grupo Lazarus, que Secureworks ha etiquetado como “Nickel Academy”. Los investigadores destacan que ha mostrado interés en el Bitcoin desde al menos 2013 debido a nombres de usuario y direcciones IP basados en Corea del Norte que regularmente están relacionados con investigaciones sobre criptomonedas, así como a campañas delictivas y de espionaje que adquieren la moneda digital.
Lazarus ha sido vinculado a varios de los mayores cibercrímenes hasta el momento, entre ellos el malware Wanna Cry, un hackeo en contra de Sony Pictures en 2014 y el robo de 81 millones de dólares al Banco Central de Bangladesh en 2016.