El malware de Corea del Norte ataca a los usuarios de Mac en la industria de las criptomonedas

Un nuevo informe de la empresa de ciberseguridad SentinelOne destaca una ola de ataques avanzados de malware dirigidos a empresas de criptomonedas, específicamente aquellas que utilizan dispositivos macOS.

Los ataques, atribuidos a hackers norcoreanos asociados con el grupo “BlueNoroff”, emplean correos electrónicos de phishing y enlaces engañosos para infiltrarse en los sistemas corporativos y robar fondos.

La evidencia técnica vinculó la campaña con BlueNoroff, un subgrupo recientemente identificado por el Tesoro de los EE.UU. como parte de Lázaro, el grupo de hackers respaldado por el gobierno de Corea del Norte más notorio, según lo señalado por The Record.

La campaña de BlueNoroff, conocida como “Riesgo Oculto”, supuestamente comenzó en abril de 2023 y utiliza noticias falsas de actualización de criptomonedas para atraer a las víctimas.

Las aplicaciones maliciosas disfrazadas de documentos PDF engañan a los usuarios para que descarguen malware. Estos correos electrónicos de phishing suelen parecer provenir de fuentes respetables en la industria de las criptomonedas, conteniendo enlaces a “informes” que, en cambio, instalan una aplicación de malware.

Títulos como “El riesgo oculto detrás del nuevo auge del precio del Bitcoin” están diseñados para parecer creíbles, engañando a los usuarios para que abran los archivos.

El informe de SentinelOne destaca una táctica innovadora dentro de la campaña: utilizar el archivo “zshenv”, un archivo del sistema macOS oculto, para mantener el malware persistente. Este método permite que el malware evite la detección al no activar las alertas de seguridad típicas de macOS.

Una vez incrustado, el malware instala una puerta trasera, permitiendo a los atacantes controlar a distancia los dispositivos infectados, ejecutar comandos y recolectar datos.

Esta campaña se alinea con el interés de larga data de Corea del Norte en la criptomoneda como fuente de financiamiento. En septiembre de 2024, el FBI emitió advertencias sobre hackers norcoreanos que apuntaban a plataformas de finanzas descentralizadas (DeFi) y empresas de cripto a través de phishing.

La campaña “Riesgo Oculto” subraya las técnicas en evolución del grupo, particularmente en el objetivo de las vulnerabilidades de macOS.

Los hallazgos de SentinelOne subrayan la importancia de la precaución en la industria criptográfica. Los expertos en seguridad recomiendan que las empresas mejoren sus protocolos de seguridad, eduquen a los empleados sobre las amenazas de phishing y ejerzan cautela al manejar correos electrónicos o aplicaciones inesperadas.