Un grupo norcoreano hackea una plataforma de intercambio de criptomonedas

27 Ago 2018

Los métodos de ataque que utilizan los ciberdelincuentes suelen ser tan sofisticados que incluso a los expertos en ciberseguridad les cuesta destaparlos. Hace un tiempo, nuestros expertos detectaron una nueva campaña de un grupo norcoreano llamado Lazarus, famoso por sus ataques a Sony Pictures y a varias instituciones financieras, por ejemplo, el robo de 81 millones de dólares al Banco Central de Bangladesh.


Esta vez los intrusos han decidido llenarse los bolsillos con unas cuantas criptomonedas. Para llegar a los monederos de sus víctimas, infectaron varias redes corporativas de plataformas de intercambio de criptomonedas con malware. Los criminales confiaron en el factor humano y les dio buenos resultados.

Aplicación comercial con una actualización maliciosa

La penetración en la red comenzó con un mensaje de correo electrónico. Al menos uno de los empleados de la plataforma de intercambio recibió una oferta por correo electrónico para instalar una aplicación comercial llamada Celas Trade Pro de Celas Limited. Un programa como este podría venir muy bien a la empresa, debido a su perfil comercial.

El mensaje incluía un enlace al sitio web oficial del desarrollador, que parecía legítimo, de hecho, hasta contaba con un certificado SSL válido expedido por Comodo CA, un centro de certificación líder.

La descarga de Celas Trade Pro estaba disponible en dos versiones: Windows y Mac, además de la de Linux que se incluiría próximamente.

Esta aplicación comercial también contaba con un certificado digital (de nuevo otro producto legítimo) y su código no contenía componentes perjudiciales.

Inmediatamente al instalarse en la computadora del empleado, Celas Trade Pro inició una actualización. Para ello, contactó con el propio servidor del proveedor, por ahora nada sospechoso, ¿verdad?. Pero, en vez de la actualización, el dispositivo descargó un troyano backdoor (de puerta trasera).

Fallchill: un troyano muy peligroso

Un backdoor es una “entrada de servicio” virtual que los delincuentes pueden utilizar para un sistema. La mayoría de los ataques previos a plataformas de intercambios se lograron con Fallchill. Junto con otras señales, Fallchill fue la prueba principal que señaló a los atacantes, ya que el grupo Lazarus ya había usado esta puerta trasera más de una vez, puesto que permite un control casi ilimitado del dispositivo infectado. Estas son algunas de sus funciones:

  • Buscar, leer y descargar archivos a un servidor de comando (el mismo que utilizó el software comercial para descargar su actualización).
  • Registrar datos en un archivo en particular (por ejemplo, en cualquier archivo .exe o en una orden de pago).
  • Borrar archivos.
  • Descargar y ejecutar herramientas adicionales.

El programa infectado y sus desarrolladores de cerca

Como ya hemos explicado, tanto el softwarez comercial como su proveedor mantuvieron una apariencia bastante respetable durante casi todo el ataque, al menos, hasta que se instaló el backdoor. Sin embargo, si echamos un vistazo más detallado, podremos apreciar ciertos detalles sospechosos.

Para empezar, el archivo que ejecutó la actualización enviaba la información de la máquina al servidor en un archivo disfrazado como una imagen GIF y recibía comandos de la misma forma. No es típico que un software serio intercambie imágenes durante sus actualizaciones.

Lo mismo sucede con el sitio web, si lo examinamos de cerca, el certificado de dominio resulta ser uno de bajo nivel y confirma que el dominio era propiedad de una entidad llamada Celas Limited. No contenía ningún tipo de información sobre la compañía o su propietario (los certificados más avanzados implican estas verificaciones). Los analistas utilizaron Google Maps para comprobar la dirección utilizada para el registro del dominio y descubrieron que pertenecía a un edificio que albergaba un comercio de ramen.

Es muy poco probable que los propietarios de este pequeño restaurante dedicaran su tiempo libre a programar, por lo que la conclusión lógica es que la dirección fuera falsa. Además, los analistas comprobaron la otra dirección especificada por el certificado digital Celas Trading Pro y descubrieron que la casilla estaba vacía.

Por lo visto la empresa había pagado por su dominio con bitcoins; las transacciones de criptomonedas funcionan bien cuando se quiere mantener el anonimato.

Y aún así no podemos estar seguros de si esta compañía es una farsa intencionada o una víctima de los ciberdelincuentes. Los hackers norcoreanos ya han comprometido antes organizaciones legítimas para atacar a sus socios o clientes.

Si quieres más información sobre la campaña Lazarus, visita Securelist y disfruta del informe completo de nuestros expertos.

¿Qué hemos aprendido con Lazarus?

Como la misma historia sugiere, puede ser muy complicado dar con la fuente de una amenaza cuando hay mucho dinero en juego. El mercado de criptomonedas se ha puesto muy de moda y atrae a todo tipo de estafadores: desde desarrolladores de mineros a grupos de delincuentes que trabajan por todo el mundo.

Cabe destacar el amplio rango de ataque de la campaña, su objetivo ha apuntado a usuarios Windows y ordenadores macOS, lo cual nos recuerda que macOS no es ninguna garantía de seguridad, los usuarios de Apple también tienen garantizar su propia protección.