Publicado por
TLDR
- CertiK dijo que Lazarus Group lanzó la campaña de malware Mach-O Man dirigida a ejecutivos de cripto y fintech.
- Los investigadores vincularon más de 500 millones de dólares en hazañas recientes con actividades relacionadas con el Grupo Lazarus.
- Los atacantes utilizaron el método ClickFix para engañar a las víctimas para que ejecutaran comandos de terminal dañinos en sistemas macOS.
- Los expertos en seguridad dijeron que el malware otorga acceso a sistemas corporativos y plataformas financieras antes de borrarse.
- CertiK advirtió que es posible que muchas empresas afectadas aún no se den cuenta de que sus sistemas estaban comprometidos.
Los piratas informáticos norcoreanos lanzaron una nueva campaña de malware para macOS dirigida a ejecutivos de criptografía y tecnología financiera, dijeron investigadores de seguridad el miércoles. CertiK vinculó la actividad con el Grupo Lazarus y advirtió que los atacantes ahora operan a velocidad institucional. La campaña, llamada Mach-O Man, ya ha coincidido con más de 500 millones de dólares en hazañas recientes.
Lazarus Group amplía sus operaciones con el malware Mach-O Man
La investigadora de CertiK, Natalie Newson, dijo que Lazarus Group desarrolló Mach-O Man a través de su división Chollima. Lo describió como un kit modular de malware macOS creado con binarios Mach-O nativos para sistemas Apple.
Dijo que los atacantes se centran en ejecutivos de fintech y criptomonedas que controlan grandes activos digitales. El grupo ha acumulado alrededor de 6.700 millones de dólares en botín de criptomonedas desde 2017.
En las últimas dos semanas, los piratas informáticos desviaron más de 500 millones de dólares de exploits de Drift y KelpDAO. Newson dijo que la actividad muestra operaciones financieras coordinadas y dirigidas por el estado.
«Lo que hace que Lazarus sea especialmente peligroso en este momento es su nivel de actividad». dijo Newson. Añadió que los ataques recientes muestran una velocidad y una escala similares a las de las instituciones.
Instó a las empresas a tratar la amenaza como los bancos tratan a los actores estatales. «Deben verlo como una amenaza constante y bien financiada». ella dijo.
La táctica ClickFix impulsa el robo directo de credenciales
Investigadores dijo Mach-O Man se propaga a través de un método de ingeniería social conocido como ClickFix. Newson dijo que los informes de los medios a menudo confunden el kit de malware con el método de entrega.
ClickFix solicita a las víctimas que peguen un comando en su terminal Mac para resolver un problema de conexión falsa. Los atacantes envían invitaciones a reuniones urgentes a través de Telegram para iniciar el contacto.
Mauro Eldritch, fundador de BCA Ltd, dijo que las víctimas reciben enlaces para llamadas de Zoom, Microsoft Teams o Google Meet. Los enlaces conducen a sitios web falsos que imitan plataformas legítimas.
Los sitios web instruyen a los ejecutivos a copiar un comando simple para corregir un supuesto error técnico. Una vez ejecutado, el comando otorga a los atacantes acceso a sistemas corporativos y plataformas SaaS.
El investigador de seguridad Vladimir S. dijo que los atacantes también secuestraron dominios del proyecto DeFi utilizando tácticas similares. En algunos casos, los piratas informáticos reemplazaron los sitios web con páginas falsas de Cloudflare que solicitaban comandos de terminal.
«Estos pasos de verificación falsos guían a las víctimas a través de atajos de teclado que ejecutan un comando dañino». dijo Newson. Añadió que las víctimas suelen iniciar ellas mismas la infracción.
Los controles de seguridad tradicionales fallan porque los usuarios ejecutan los comandos voluntariamente. Como resultado, el malware se borra antes de ser detectado.
Newson dijo que muchas víctimas siguen sin estar al tanto de la violación. «Probablemente no lo sepan todavía», dijo.
Añadió que las empresas afectadas pueden tener dificultades para identificar qué variante comprometió sus sistemas. CertiK informó los hallazgos como parte del monitoreo continuo de amenazas este mes.