El año pasado, a mediados de diciembre, se subió un archivo sospechoso a VirusTotal, el servicio online que analiza los archivos en busca de malware. A simple vista, parecía un instalador de monedero de criptomonedas, pero nuestros expertos lo analizaron y se percataron de que, además del monedero, también enviaba malware al dispositivo del usuario. No obstante, parece que el programa no es creación de unos delincuentes primerizos, sino de los pertenecientes al grupo Lazarus.
¿Qué es Lazarus?
Lazarus es un grupo de APT. Este tipo de grupos son organizaciones de ciberdelincuentes bien financiadas regularmente, que desarrollan malware complejo y se especializan en ataques dirigidos, por ejemplo, para realizar espionaje político o industrial. Su objetivo principal rara vez es el robo de dinero.
Sin embargo, Lazarus es un grupo de APT que persigue activamente el dinero de los demás. Por ejemplo, en el 2016, el grupo robó una buena suma del Banco Central de Bangladesh, en 2018 infectó un exchange de criptomonedas con malware y en 2020 intento con ransomware.
Un monedero DeFi con puerta trasera
El archivo que llamó la atención de la mayoría de nuestros investigadores contenía un instalador para un monedero de criptomonedas legítimo y descentralizado, sin embargo, estaba infectado. DeFi (la abreviatura en inglés de finanzas descentralizadas) es un modelo financiero en el que no hay intermediarios como bancos y las transacciones se realizan de forma directa entre usuarios. Esta tecnología se ha popularizado en los últimos años, de hecho, de acuerdo con Forbes, de mayo del 2020 a mayo del 2021, el valor de los activos ubicados en los sistemas DeFi aumentó 88 veces. Por esto es que no es sorpresa que las DeFi interesen y atraigan a los ciberdelincuentes.
No es del todo claro con exactitud, cómo es que los ciberdelincuentes persuaden a las víctimas para que descarguen y ejecuten el archivo infectado. Sin embargo, nuestros expertos suponen que los atacantes mandan correos electrónicos dirigidos o mensajes en redes sociales a los usuarios. A diferencia de los envíos masivos, estos mensajes son adaptable específicamente para cada usuario y pueden parecer sumamente convincentes.
En cualquier caso, cuando el usuario ejecuta el instalador, crea dos ejecutables: un programa malicioso y un instalador limpio de un monedero de criptomonedas. El malware se hace pasar por Google Chrome, el navegador, e intenta disfrazar la existencia del instalador infectado copiando uno limpio en su lugar, el cual se ejecuta inmediatamente para que el usuario no tenga sospechas. Una vez que el monedero es instalado de manera correcta, el malware se ejecuta en segundo plano.
¿Es peligroso?
El malware que se instala en el ordenador con la billetera DeFi es una puerta trasera. Según la intención que tenga quien lo opera, esta puerta trasera puede recopilar información o proporcionar control remoto sobre el dispositivo. Concretamente puede:
- Comenzar y finalizar procesos.
- Ejecutar comandos en el dispositivo.
- Descargar archivos, eliminarlos o enviarlos desde el dispositivo al servidor de mando y control.
En otras palabras, si el ataque resulta exitoso, el malware puede desactivar el antivirus y robar lo que quiera, desde documentos valiosos hasta dinero o cuentas. De igual manera, puede descargar otros programas maliciosos en la computadora si es que los delincuentes lo consideran conveniente. Para más información técnica sobre el troyano, puedes visitar como siempre nuestro artículo en el blog Securelist.
Cómo no caer en la trampa
Si estás en el ámbito financiero y, sobre todo, en el de las criptomonedas, cuídate de los mensajes que intenten persuadirte para que descargues programas de fuentes no confiables. Además, asegúrate de que tus dispositivos sean seguros, en especial aquellos que utilizas para realizar tus transacciones de criptomonedas. Una solución de seguridad de confianza te ayudará especialmente en los casos en los que solo prestar atención no sea suficiente.