DELINCUENTES Y MUTANTES
ATAQUES POR DOQUIER. Kaspersky ha llevado a cabo una investigación del grupo DeathNote, perteneciente a Lazarus y caracterizado por su gran capacidad de transformarse. De criptomonedas a industria.
Kaspersky llevó a cabo una investigación del grupo DeathNote, perteneciente a Lazarus y caracterizado por su gran capacidad de transformarse. Comenzó a operar en 2019 con ataques a empresas relacionadas con criptomonedas en todo el mundo. A finales de 2022, ejecutó campañas específicas que afectaron a corporaciones de TI y de defensa en Europa, Latinoamérica, Corea del Sur y África. El informe de Kaspersky alerta de un cambio de los objetivos de DeathNote y de un perfeccionamiento de sus herramientas, técnicas y procedimientos en los últimos cuatro años.
El peligroso grupo de ciberdelincuentes Lazarus ha atacado con insistencia a empresas relacionadas con el sector de las criptomonedas. Kaspersky ha detectado que en un caso concreto hicieron uso de un malware modificado. A mediados de octubre de 2019, los analistas de la compañía de ciberseguridad encontraron un documento sospechoso subido a VirusTotal. El autor del malware utilizó documentos señuelo relacionados con el negocio de las criptomonedas. En ellos, se incluía un cuestionario sobre la compra de criptomonedas, una introducción a una moneda virtual en particular y lo mismo para una empresa de minería de bitcoin. Esta fue la primera vez que entró en escena la campaña DeathNote, dirigida a personas y empresas relacionadas con las criptomonedas en Chipre, Estados Unidos, Taiwán y Hong Kong.
En abril de 2020, Kaspersky observó un cambio significativo en los vectores de infección de DeathNote, centrándose en organizaciones dedicadas a la automoción y de corte académico en Europa del Este, todas ellas vinculadas a la industria de la defensa. Modificó documentos señuelo relacionados con las descripciones del trabajo de contratistas de defensa y también con la diplomacia. Además, elaboró su propia cadena infecciosa mediante inyección de código y software de visualización para archivos PDF que escondía un troyano.
En mayo de 2021, Kaspersky ya observó que una empresa de TI europea dedicada a ofrecer soluciones para dispositivos de red y monitorización de servidores se vio comprometida por DeathNote. Además, a principios de junio de 2021 este subgrupo de Lazarus comenzó a utilizar un nuevo mecanismo para infectar en Corea del Sur. Lo que llamó la atención de los investigadores fue que la etapa inicial del malware fue ejecutada por un software legítimo que se usa de manera recurrente para la seguridad en dicho país.
La campaña en curso se detectó por primera vez en julio de 2022. Lazarus había ciberatacado con éxito un contratista de defensa en África. Todo comenzó con la infección a través de una app de lectura de archivos PDF recibida a través del messenger de Skype. Una vez ejecutado el lector de PDF, se creaba un archivo legítimo denominado ‘CameraSettingsUIHost.exe’ y otro malicioso llamado ‘DUI70.dll’ en el mismo directorio.
«Lazarus es un grupo de ciberdelincuentes sin escrúpulos, pero muy cualificado. Nuestro análisis de DeathNote revela una rápida evolución en sus Tácticas, Técnicas y Procedimientos (TTP) a lo largo de los años. Esta vez no se ha limitado a las criptomonedas, ha ido más allá. Despliega tanto software legítimo como malicioso para comprometer empresas del sector de la defensa. Su constante evolución hace crucial para las organizaciones mantener la vigilancia y las medidas proactivas a fin de defenderse correctamente».