{"id":13350,"date":"2018-08-27T12:57:53","date_gmt":"2018-08-27T18:57:53","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13350"},"modified":"2022-03-27T04:56:16","modified_gmt":"2022-03-27T10:56:16","slug":"lazarus-crypto-exchange-attack","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/lazarus-crypto-exchange-attack\/13350\/","title":{"rendered":"Un grupo norcoreano hackea una plataforma de intercambio de criptomonedas"},"content":{"rendered":"

Los m\u00e9todos de ataque que utilizan los ciberdelincuentes suelen ser tan sofisticados que incluso a los expertos en ciberseguridad les cuesta destaparlos. Hace un tiempo, nuestros expertos detectaron<\/a> una nueva campa\u00f1a de un grupo norcoreano llamado Lazarus<\/a>, famoso por sus ataques a Sony Pictures<\/a> y a varias instituciones financieras, por ejemplo, el robo de 81 millones de d\u00f3lares al Banco Central de Bangladesh<\/a>.<\/p>\n

\"\"
\nEsta vez los intrusos han decidido llenarse los bolsillos con unas cuantas criptomonedas<\/a>. Para llegar a los monederos de sus v\u00edctimas, infectaron varias redes corporativas de plataformas de intercambio de criptomonedas con malware<\/i>. Los criminales confiaron en el factor humano y les dio buenos resultados.<\/p>\n

Aplicaci\u00f3n comercial con una actualizaci\u00f3n maliciosa<\/h2>\n

La penetraci\u00f3n en la red comenz\u00f3 con un mensaje de correo electr\u00f3nico. Al menos uno de los empleados de la plataforma de intercambio recibi\u00f3 una oferta por correo electr\u00f3nico para instalar una aplicaci\u00f3n comercial llamada Celas Trade Pro de Celas Limited. Un programa como este podr\u00eda venir muy bien a la empresa, debido a su perfil comercial.<\/p>\n

El mensaje inclu\u00eda un enlace al sitio web oficial del desarrollador, que parec\u00eda leg\u00edtimo, de hecho, hasta contaba con un certificado SSL<\/a> v\u00e1lido expedido por Comodo CA, un centro de certificaci\u00f3n l\u00edder.<\/p>\n

\"\"<\/p>\n

La descarga de Celas Trade Pro estaba disponible en dos versiones: Windows y Mac, adem\u00e1s de la de Linux que se incluir\u00eda pr\u00f3ximamente.<\/p>\n

\"\"<\/p>\n

Esta aplicaci\u00f3n comercial tambi\u00e9n contaba con un certificado digital<\/a> (de nuevo otro producto leg\u00edtimo) y su c\u00f3digo no conten\u00eda componentes perjudiciales.<\/p>\n

Inmediatamente al instalarse en la computadora del empleado, Celas Trade Pro inici\u00f3 una actualizaci\u00f3n. Para ello, contact\u00f3 con el propio servidor del proveedor, por ahora nada sospechoso, \u00bfverdad?. Pero, en vez de la actualizaci\u00f3n, el dispositivo descarg\u00f3 un troyano backdoor<\/i><\/a> (de puerta trasera).<\/p>\n

\"\"<\/p>\n

Fallchill: un troyano muy peligroso<\/h3>\n

Un backdoor<\/i> es una \u201centrada de servicio\u201d virtual que los delincuentes pueden utilizar para un sistema. La mayor\u00eda de los ataques previos a plataformas de intercambios se lograron con Fallchill. Junto con otras se\u00f1ales, Fallchill fue la prueba principal que se\u00f1al\u00f3 a los atacantes, ya que el grupo Lazarus ya hab\u00eda usado esta puerta trasera m\u00e1s de una vez, puesto que permite un control casi ilimitado del dispositivo infectado. Estas son algunas de sus funciones:<\/p>\n