Robo de Criptomonedas: Lazarus Ataca con Juego Falso y Vulnerabilidad en Google Chrome
En octubre de 2024, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) alertó sobre una operación del grupo Lazarus, una Amenaza Persistente Avanzada (APT) que lanzó una campaña para robar criptomonedas a través de un falso juego en línea.
Según los expertos de Kaspersky, el grupo utilizó un sitio web malicioso que explotaba una vulnerabilidad de día cero en Google Chrome, permitiéndoles instalar software espía en dispositivos y extraer credenciales de billeteras de criptomonedas.
Boris Larin, experto principal en seguridad de GReAT, describió la operación como un ejemplo del alcance de Lazarus en el uso de nuevas tecnologías. “Los atacantes fueron más allá de las tácticas habituales, usando un juego completamente funcional como fachada para explotar una vulnerabilidad en Google Chrome e infectar sistemas”, explicó.
El ataque fue detectado en mayo de 2024 cuando, al monitorear incidentes en su red, Kaspersky notó el uso de Manuscrypt, un malware asociado a Lazarus desde 2013.
El análisis reveló que la campaña empleaba técnicas de ingeniería social y recursos de inteligencia artificial generativa para atraer a inversores en criptomonedas. Según el informe, los atacantes crearon cuentas en redes sociales como X y LinkedIn para promover su falso juego de tanques NFT, apoyándose en imágenes generadas por IA para dar una apariencia de legitimidad.
Además, Lazarus intentó involucrar a influenciadores de criptomonedas, buscando aprovechar sus perfiles en redes sociales tanto para difundir la amenaza como para acceder a sus billeteras. Según Kaspersky, el éxito de la operación fue respaldado por una minuciosa planificación y la integración de la inteligencia artificial generativa en cada etapa de la campaña, lo que Larin considera una estrategia innovadora y peligrosa. “Con actores notorios como Lazarus, incluso un clic en un enlace aparentemente inocente puede comprometer una computadora personal o toda una red corporativa”, advirtió Larin.
La investigación también reveló que los atacantes habían clonado un juego legítimo, alterando solo el logotipo y ciertos elementos visuales para ocultar su naturaleza maliciosa. Los desarrolladores del juego original informaron sobre una transferencia no autorizada de $20,000 en criptomonedas desde su cuenta. La similitud entre ambos juegos y coincidencias en el código subrayan el esfuerzo de Lazarus por hacer creíble su versión falsa.
En octubre de 2024, el equipo de Investigación y Análisis Global de Kaspersky (GReAT) alertó sobre una compleja operación del grupo Lazarus, una Amenaza Persistente Avanzada (APT) que lanzó una campaña para robar criptomonedas a través de un falso juego en línea. Según los expertos de Kaspersky, el grupo utilizó un sitio web malicioso que explotaba una vulnerabilidad de día cero en Google Chrome, permitiéndoles instalar software espía en dispositivos y extraer credenciales de billeteras de criptomonedas. Boris Larin, experto principal en seguridad de GReAT, describió la operación como un ejemplo del alcance de Lazarus en el uso de nuevas tecnologías. “Los atacantes fueron más allá de las tácticas habituales, usando un juego completamente funcional como fachada para explotar una vulnerabilidad en Google Chrome e infectar sistemas”, explicó.
El ataque fue detectado en mayo de 2024 cuando, al monitorear incidentes en su red, Kaspersky notó el uso de Manuscrypt, un malware asociado a Lazarus desde 2013. El análisis reveló que la campaña empleaba técnicas de ingeniería social y recursos de inteligencia artificial generativa para atraer a inversores en criptomonedas. Según el informe, los atacantes crearon cuentas en redes sociales como X y LinkedIn para promover su falso juego de tanques NFT, apoyándose en imágenes generadas por IA para dar una apariencia de legitimidad.
Además, Lazarus intentó involucrar a influenciadores de criptomonedas, buscando aprovechar sus perfiles en redes sociales tanto para difundir la amenaza como para acceder a sus billeteras. Según Kaspersky, el éxito de la operación fue respaldado por una minuciosa planificación y la integración de la inteligencia artificial generativa en cada etapa de la campaña, lo que Larin considera una estrategia innovadora y peligrosa. “Con actores notorios como Lazarus, incluso un clic en un enlace aparentemente inocente puede comprometer una computadora personal o toda una red corporativa”, advirtió Larin.
La investigación también reveló que los atacantes habían clonado un juego legítimo, alterando solo el logotipo y ciertos elementos visuales para ocultar su naturaleza maliciosa. Los desarrolladores del juego original informaron sobre una transferencia no autorizada de $20,000 en criptomonedas desde su cuenta. La similitud entre ambos juegos y coincidencias en el código subrayan el esfuerzo de Lazarus por hacer creíble su versión falsa.
Kaspersky presentó los detalles de esta operación durante la Cumbre de Analistas de Seguridad en Bali, y un informe completo está disponible en Securelist.com.
