Nadie se salva. En la medida que una tecnología o algún tipo de programa gana popularidad, se vuelve en objeto de interés de los cibercriminales. Pasa con linux, pasa con las criptomonedas. Como los delincuentes saben que hay regular gente usándolos, buscan la manera de vulnerarlos.
Las criptomonedas, aun con altibajos en su valor, en la última década han crecido como la espuma en variedades y valores, llegando a ser permitidas como oficiales en algunos países, como El Salvador. Bitcoin fue la primera (2008) y registró el 30 de octubre un aumento en su valor, llegando a superar los US$71 mil, cerca de su récord histórico, los US$73 mil registrados el día anterior. El impulso ascendente de Bitcoin ha creado un efecto en cadena, causando que varias otras criptomonedas, conocidas como altcoins, también experimenten un alza.
Para almacenarlas, los usuarios poseen un monedero digital o wallet, es decir un software donde se pueden guardar, enviar o hacer transacciones con otros usuarios de la divisa electrónica. El monedero guarda las claves que definen la propiedad de la criptomoneda y el derecho de una persona sobre ella.
Las criptomonedas, seguras por definición, han sido objeto de nuevos ataques. En realidad, algunos ciberdelincuentes han optado por atacar las billeteras que las almacenan, informó el equipo de Investigación y Análisis Global de Kaspersky (GReAT). El grupo criminal usó un juego falso en línea, promocionado en redes sociales con imágenes generadas por inteligencia artificial (IA), para robar las divisas electrónicas.
Se trata de Lazarus APT (Amenazas Avanzadas Persistentes), quien explotó una vulnerabilidad de día cero en Chrome para robar a los inversores en criptomonedas en todo el mundo. Los atacantes utilizaron un sitio web falso de un criptojuego para instalar software espía (spyware) y robar credenciales de billeteras. El diseño del juego falso se asemejaba mucho al original, diferenciándose solo en la ubicación del logotipo y la calidad visual. Logrado el engaño y obtenidas las contraseñas, procedían a llevarse las divisas.
«En mayo de 2024, al analizar incidentes dentro de la telemetría de Kaspersky Security Network, los expertos identificaron un ataque que utilizaba el malware Manuscrypt, el cual ha sido usado por el grupo Lazarus desde 2013 y ha sido documentado por Kaspersky GReAT en más de 50 campañas únicas dirigidas a diversas industrias. Un análisis más detallado reveló una campaña maliciosa sofisticada que dependía en gran medida de técnicas de ingeniería social y de inteligencia artificial generativa para atacar a los inversores en criptomonedas», informaron.
Se trata de Lazarus APT (Amenazas Avanzadas Persistentes), quien explotó una vulnerabilidad de día cero en Chrome para robar a los inversores en criptomonedas en todo el mundo. Los atacantes utilizaron un sitio web falso de un criptojuego para instalar software espía (spyware) y robar credenciales de billeteras.
El grupo Lazarus no es nuevo. Es famoso por sus ataques contra plataformas de criptomonedas y tiene un historial de uso de exploits de día cero. La nueva campaña siguió el mismo patrón: explotaron dos vulnerabilidades. Una fue el error de confusión de tipos previamente desconocido en V8, el motor de JavaScript y WebAssembly de código abierto de Google.
Esta vulnerabilidad de día cero fue catalogada como CVE-2024-4947 y solucionada después de que Kaspersky la reportara a Google. «Permitía a los atacantes ejecutar código arbitrario, eludir funciones de seguridad y llevar a cabo diversas actividades maliciosas», afirmaron. La otra vulnerabilidad fue utilizada para eludir la protección del sandbox de V8 en Google Chrome.
Los criminales se enfocaron en generar un sentido de confianza para maximizar la efectividad de la campaña. Por eso crearon cuentas en redes sociales como X (antes Twitter) y LinkedIn para promocionar el juego durante varios meses, utilizando imágenes generadas por IA para mejorar la credibilidad. Lazarus ha integrado con éxito la inteligencia artificial generativa en sus operaciones y es posible que le siga sacando el máximo provecho.
Las criptomonedas, seguras por definición, han sido objeto de nuevos ataques. En realidad, algunos ciberdelincuentes han optado por atacar las billeteras que las almacenan, informó el equipo de Investigación y Análisis Global de Kaspersky (GReAT).
Kaspersky detalló que los ciberdelincuentes también intentaron involucrar a influencers de criptomonedas para una promoción adicional, aprovechando su presencia en las redes sociales no solo para distribuir la amenaza sino también para atacar sus propias cuentas de criptomonedas.
«El esfuerzo significativo invertido en esta campaña sugiere que tenían planes ambiciosos y el impacto real podría ser mucho más amplio, afectando potencialmente a usuarios y empresas en todo el mundo», comentó Boris Larin, experto principal en seguridad del GReAT de Kaspersky.
«Si bien hemos visto actores de Amenazas Persistentes Avanzadas buscando ganancias financieras anteriormente, esta campaña fue única. Los atacantes fueron más allá de las tácticas habituales al usar un juego completamente funcional como fachada. Con actores notorios como Lazarus, incluso acciones aparentemente inofensivas, como hacer clic en un enlace en una red social o en un correo electrónico, pueden resultar en el compromiso total de una computadora personal o una red corporativa completa», alertó Larin.
Sepa más: Kaspersky informó que los detalles de la campaña maliciosa se presentaron en la Cumbre de Analistas de Seguridad en Bali y ahora el informe completo está disponible en Securelist.com.
