{"id":13339,"date":"2018-08-27T12:40:08","date_gmt":"2018-08-27T18:40:08","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13339"},"modified":"2018-08-27T12:40:08","modified_gmt":"2018-08-27T18:40:08","slug":"applejeus-grupo-lazarus-ataca-bolsa-de-criptomonedas-con-malware-para-macos","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/applejeus-grupo-lazarus-ataca-bolsa-de-criptomonedas-con-malware-para-macos\/13339\/","title":{"rendered":"AppleJeus: grupo Lazarus ataca bolsa de criptomonedas con malware para MacOS"},"content":{"rendered":"

El Equipo de investigaci\u00f3n y an\u00e1lisis global de Kaspersky Lab (GReAT, por sus siglas en ingl\u00e9s) ha descubierto AppleJeus, una nueva operaci\u00f3n maliciosa llevada a cabo por el infame grupo Lazarus. Los atacantes penetraron la red de una bolsa de intercambio de criptomonedas en Asia mediante un software de comercio de criptomonedas troyanizado. El objetivo del ataque fue robar criptomonedas de sus v\u00edctimas. Adem\u00e1s de ese malware basado en Windows, los investigadores pudieron identificar una versi\u00f3n, hasta entonces desconocida, dirigida a la plataforma MacOS.<\/strong><\/p>\n

\u00a0<\/p>\n

Este es el primer caso en que los investigadores de Kaspersky Lab han observado al grupo Lazarus distribuyendo malware dirigido a usuarios de MacOS, siendo una llamada de atenci\u00f3n para todos los que utilizan este sistema operativo para actividades relacionadas con criptomonedas.<\/p>\n

\u00a0<\/p>\n

Con base en el an\u00e1lisis del equipo de investigaci\u00f3n, la penetraci\u00f3n de la infraestructura de la bolsa de intercambio comenz\u00f3 con el descuido de un empleado que descarg\u00f3 una aplicaci\u00f3n de terceros desde un sitio web aparentemente leg\u00edtimo de una empresa que desarrolla software para el comercio de criptomonedas.<\/p>\n

\u00a0<\/p>\n

El c\u00f3digo de la aplicaci\u00f3n no es sospechoso, con excepci\u00f3n de un componente: un actualizador. En el software leg\u00edtimo, dichos componentes se utilizan para bajar nuevas versiones de programas. En el caso de AppleJeus, act\u00faa como un m\u00f3dulo de reconocimiento: primero recopila informaci\u00f3n b\u00e1sica sobre la computadora en la que se ha instalado, luego env\u00eda estos datos al servidor de mando y control y, si los atacantes deciden que vale la pena atacar a la computadora, el c\u00f3digo malicioso regresa, pero en forma de una actualizaci\u00f3n de software. La actualizaci\u00f3n maliciosa instala es un troyano conocido como Fallchill<\/em>, una vieja herramienta que el grupo Lazarus ha vuelto a usar recientemente. Este hecho dio a los investigadores una base para atribuir el origen. Despu\u00e9s de instalado, el troyano Fallchill<\/em> proporciona a los atacantes acceso casi ilimitado a la computadora atacada, lo que les permite robar informaci\u00f3n financiera valiosa o bien, instalar herramientas adicionales para tal fin.<\/p>\n

\u00a0<\/p>\n

La situaci\u00f3n se vio agravada por el hecho de que los delincuentes han desarrollado software tanto para la plataforma Windows como MacOS. Esta \u00faltima suele estar mucho menos expuesta a amenazas cibern\u00e9ticas en comparaci\u00f3n a Windows. La funcionalidad de las versiones del malware en ambas plataformas es exactamente la misma.<\/p>\n

\u00a0<\/p>\n

Otra cosa inusual acerca de c\u00f3mo funciona AppleJeus es que, si bien parece un ataque de la cadena de suministro, en realidad puede no ser el caso. El proveedor del software de intercambio de criptomonedas que se utiliz\u00f3 para entregar la carga maliciosa a las computadoras de las v\u00edctimas tiene un certificado digital v\u00e1lido para firmar su software y datos de aspecto leg\u00edtimo para registro del dominio. Sin embargo, al menos con base en informaci\u00f3n p\u00fablica, los investigadores de Kaspersky Lab no han podido identificar ninguna organizaci\u00f3n leg\u00edtima ubicada en la direcci\u00f3n utilizada en la informaci\u00f3n del certificado.<\/p>\n

\u00a0<\/em><\/p>\n

\u201cNotamos un inter\u00e9s creciente del Grupo Lazarus en los mercados de criptomonedas a principios de 2017, cuando un operador de Lazarus instal\u00f3 software para minar la criptodivisa Monero en uno de sus servidores. Desde entonces, han sido detectados varias veces teniendo como objetivo las bolsas de intercambio de criptomonedas junto con organizaciones financieras regulares. El hecho de que desarrollaran malware para infectar a usuarios de MacOS adem\u00e1s de usuarios de Windows y, muy probablemente, hasta crearan una compa\u00f1\u00eda y un software completamente falso para poder entregar este malware sin ser detectados por las soluciones de seguridad, significa que ven gran potencial de ganancias en la operaci\u00f3n, y definitivamente debemos esperar m\u00e1s casos similares en un futuro cercano. Para los usuarios de MacOS, este caso es una llamada de atenci\u00f3n, especialmente si usan sus Macs para realizar operaciones con criptomonedas\u201d, se\u00f1ala Vitaly Kamluk,<\/strong><\/em> director del Equipo Global de Investigaci\u00f3n y An\u00e1lisis <\/strong>para Asia-Pacifico en Kaspersky Lab<\/em><\/strong>.<\/em><\/p>\n

\u00a0<\/p>\n

El grupo Lazarus, conocido por la forma avanzada de sus actividades <\/a>y sus v\u00ednculos con Corea del Norte, destaca no solo por sus ataques de ciberespionaje y cibersabotaje, sino tambi\u00e9n por ataques con motivos financieros.<\/p>\n

\u00a0<\/p>\n

Varios investigadores, incluidos colaboradores de Kaspersky Lab, han informado previamente sobre este grupo dirigido a bancos y otras grandes empresas financieras.<\/p>\n

\u00a0<\/p>\n

Para protegerse usted y a su empresa de ciberataques avanzados de grupos como Lazarus, los expertos en seguridad de Kaspersky Lab recomiendan lo siguiente:<\/p>\n

\u00a0<\/p>\n