El informe de Google Cloud expone a ciberdelincuentes norcoreanos que apuntan a los sectores de criptomonedas y fintech de Brasil con malware sofisticado y esquemas de phishing.
El departamento de inteligencia de amenazas de Google Cloud ha revelado que los atacantes cibernéticos respaldados por el gobierno de Corea del Norte están atacando activamente a las exchanges de criptomonedas y a las empresas fintech de Brasil. El informe del 13 de junio destacó intentos coordinados de secuestrar, extorsionar y defraudar a individuos y organizaciones brasileñas.
Enfoque de los Ciberataques
Mientras que los grupos norcoreanos se enfocan principalmente en empresas de criptomonedas, aeroespaciales, de defensa y entidades gubernamentales, los criminales cibernéticos respaldados por el gobierno chino prefieren atacar solo a las organizaciones gubernamentales y al sector energético en Brasil.
La Trama Detrás de los Ciberataques en Brasil
El notorio grupo cibercriminal norcoreano Pukchong (también conocido como UNC4899) ha atacado a ciudadanos y organizaciones brasileñas a través del mercado laboral. Engañaron a buscadores de empleo desprevenidos para que descargaran malware en sus sistemas. Según el informe:
“El proyecto era una app Python troyanizada para recuperar precios de criptomonedas que fue modificada para conectarse a un dominio controlado por atacantes para recuperar una segunda carga útil si se cumplían ciertas condiciones.”
Ataques de malware similares perpetrados por GoPix y URSA también se encontraron activamente dirigidos a empresas de criptomonedas brasileñas.
Ataques Más Allá de las Fronteras
Recientemente, el proveedor de billeteras de criptomonedas Trust Wallet pidió a los usuarios de Apple desactivar iMessage, citando “inteligencia creíble” de una vulnerabilidad de día cero que podría permitir a los hackers tomar control de los teléfonos de los usuarios. Una vulnerabilidad de día cero es un vector de ataque cibernético que aprovecha una falla de seguridad desconocida o no resuelta en software, hardware o firmware.
La empresa de ciberseguridad Kaspersky descubrió recientemente que el grupo de hackers norcoreanos Kimsuky utilizó una nueva variante de malware llamada “Durian” para lanzar ataques a empresas de criptomonedas surcoreanas.
“Durian cuenta con una funcionalidad completa de backdoor, que permite la ejecución de comandos entregados, descargas adicionales de archivos y exfiltración de archivos,” escribió Kaspersky.
Además, Kaspersky señaló que LazyLoad también fue utilizado por Andariel, un subgrupo dentro del consorcio de hackers norcoreanos Lazarus Group, lo que sugiere una conexión “tenue” entre Kimsuky y el grupo de hackers más notorio.
Medidas de Seguridad
La exposición de estas amenazas subraya la importancia de que las empresas de criptomonedas y fintech tomen medidas proactivas para protegerse contra estos sofisticados ciberataques. Implementar sistemas de seguridad robustos, capacitar a los empleados sobre las tácticas de phishing y mantener actualizados los softwares de seguridad son pasos esenciales para mitigar estos riesgos.
Los usuarios y empresas deben estar alerta y adoptar prácticas seguras en línea para proteger sus activos digitales y datos personales de estas crecientes amenazas cibernéticas.
