Últimamente, el equipo de seguridad de Volexity ha detectado un nuevo brote de malware AppleJeus que se distribuye a través de falsas aplicaciones de criptomoneda. Los especialistas suponen que el ataque ha sido orquestado por el grupo de hackers norcoreano Lazarus.
Es esencial tener en cuenta que, tal y como informó Hackread.com el año pasado, se descubrió que Lazarus utilizaba el malware AppleJeus en ordenadores Mac en su asalto a numerosas bolsas de criptomonedas.
El examen del ataque ha desvelado que los infames hackers de Lazarus están utilizando una plataforma de intercambio ilegítima y DLL Side-loading para desplegar el peligroso software. Esta ofensiva se centra en propietarios y organizaciones de divisas digitales.
En este ataque más reciente, el grupo ha aplicado una variación del malware AppleJeus en documentos maliciosos de Microsoft Office. Este asalto lleva activo desde junio de 2022 y no hay indicios de que se esté ralentizando.
A medida que el grupo Lazarus se hace más conocido, sigue intentando infiltrarse en el sector de las criptomonedas. Para pasar desapercibidos, utilizan la táctica de carga lateral de DLL encadenadas para instalar su software malicioso. Su objetivo, sin embargo, sigue siendo el mismo: robar dinero para Corea del Norte.
El descubrimiento de Volexity se predijo; a principios de 2022, los hackers de Lazarus ya habían sustraído casi 1.700 millones de dólares de los intercambios de divisas digitales. En abril de 2022, los informes indicaron que estaban utilizando un virus llamado TraderTraitor para atacar a las empresas Blockchain. Debemos permanecer atentos a sus actividades maliciosas.
¿Cómo funcionó el esquema?
Se afirma que la base del esquema es un sitio web robado basado en criptomoneda. Además, se utilizó un nuevo tipo de carga lateral de DLL a través del malware AppleJeus, que no se había encontrado anteriormente.
La investigación posterior descubrió que en junio de 2022, los delincuentes establecieron un dominio denominado bloxholdercom que seguía funcionando en el momento de redactar este informe. Este dominio se utilizó para crear un sitio web centrado en el comercio automático de criptomonedas, que seguía el modelo del servicio bona fide de comercio de criptomonedas HaasOnline (haasonlinecom). Todas las referencias al sitio web original se cambiaron a BloxHolder, con algunos ajustes menores.
El equipo de Volexity se quedó atónito al descubrir que el grupo Lazarus optó por emplear el malware AppleJeus oculto dentro de un documento de MS Office, conocido como OKX Binance & Huobi VIP fee comparision.xls, en lugar de un instalador MSI. Este registro malicioso estaba dividido en dos secciones: la inicial descodificaba un blob base64 con un segundo elemento OLE, que contenía otra macro.
Además, los atacantes explotaban OpenDrive para ejecutar la carga útil de la última etapa, aunque los investigadores no han podido descifrar la carga útil final desde octubre. Curiosamente, descubrieron similitudes en la práctica de carga lateral del malévolo instalador MSI de Windows que era análogo a la aplicación BloxHolder, utilizada para instalar el malware AppleJeus y el programa QTBitcoinTrader. Es la primera vez que este proceso sale a la luz.
