{"id":24698,"date":"2022-04-25T16:58:30","date_gmt":"2022-04-25T22:58:30","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=24698"},"modified":"2022-04-25T16:58:30","modified_gmt":"2022-04-25T22:58:30","slug":"lazarus-defi-wallet-backdoor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/24698\/","title":{"rendered":"La puerta trasera de Lazarus en los monederos DeFi"},"content":{"rendered":"

El a\u00f1o pasado, a mediados de diciembre, se subi\u00f3 un archivo sospechoso a VirusTotal, el servicio online que analiza los archivos en busca de malware<\/em>. A simple vista, parec\u00eda un instalador de monedero de criptomonedas, pero nuestros expertos lo analizaron<\/a> y se percataron de que, adem\u00e1s del monedero, tambi\u00e9n enviaba malware <\/em>al dispositivo del usuario. No obstante, parece que el programa no es creaci\u00f3n de unos delincuentes primerizos, sino de los pertenecientes al grupo Lazarus<\/a>.<\/p>\n

\u00bfQu\u00e9 es Lazarus?<\/h1>\n

Lazarus es un grupo de APT<\/a>. Este tipo de grupos son organizaciones de ciberdelincuentes bien financiadas regularmente, que desarrollan malware<\/em>\u00a0complejo y se especializan en ataques dirigidos<\/a>, por ejemplo, para realizar espionaje pol\u00edtico o industrial. Su objetivo principal rara vez es el robo de dinero.<\/p>\n

Sin embargo, Lazarus es un grupo de APT que persigue activamente el dinero de los dem\u00e1s. Por ejemplo, en el 2016, el grupo rob\u00f3 una buena suma<\/a> del Banco Central de Bangladesh, en 2018 infect\u00f3<\/a> un exchange<\/em> de criptomonedas con malware <\/em>y en 2020 intento con ransomware<\/em><\/a>.<\/p>\n

Un monedero DeFi con puerta trasera<\/h1>\n

El archivo que llam\u00f3 la atenci\u00f3n de la mayor\u00eda de nuestros investigadores conten\u00eda un instalador para un monedero de criptomonedas leg\u00edtimo y descentralizado, sin embargo, estaba infectado. DeFi (la abreviatura en ingl\u00e9s de finanzas descentralizadas) es un modelo financiero en el que no hay intermediarios como bancos y las transacciones se realizan de forma directa entre usuarios. Esta tecnolog\u00eda se ha popularizado en los \u00faltimos a\u00f1os, de hecho, de acuerdo con Forbes<\/em>, de mayo del 2020 a mayo del 2021, el valor de los activos ubicados en los sistemas DeFi aument\u00f3 88 veces<\/a>. Por esto es que no es sorpresa que las DeFi interesen y atraigan a los ciberdelincuentes.<\/p>\n

No es del todo claro con exactitud, c\u00f3mo es que los ciberdelincuentes persuaden a las v\u00edctimas para que descarguen y ejecuten el archivo infectado. Sin embargo, nuestros expertos suponen que los atacantes mandan correos electr\u00f3nicos dirigidos<\/a> o mensajes en redes sociales a los usuarios. A diferencia de los env\u00edos masivos, estos mensajes son adaptable espec\u00edficamente para cada usuario y pueden parecer sumamente convincentes.<\/p>\n

En cualquier caso, cuando el usuario ejecuta el instalador, crea dos ejecutables: un programa malicioso y un instalador limpio de un monedero de criptomonedas. El malware<\/em> se hace pasar por Google Chrome, el navegador, e intenta disfrazar la existencia del instalador infectado copiando uno limpio en su lugar, el cual se ejecuta inmediatamente para que el usuario no tenga sospechas. Una vez que el monedero es instalado de manera correcta, el malware<\/em>\u00a0se ejecuta en segundo plano.<\/p>\n

\u00bfEs peligroso?<\/h1>\n

El malware<\/em>\u00a0que se instala en el ordenador con la billetera DeFi es una puerta trasera<\/a>. Seg\u00fan la intenci\u00f3n que tenga quien lo opera, esta puerta trasera puede recopilar informaci\u00f3n o proporcionar control remoto sobre el dispositivo. Concretamente puede:<\/p>\n