Tecnología

Los piratas informáticos de BlueNoroff roban cripto utilizando la extensión MetaMask falsa

Corea del Norte y la criptomoneda

El grupo de actores de amenazas de Corea del Norte conocido como ‘BlueNoroff’ ha sido visto apuntando a nuevas empresas de criptomonedas con documentos maliciosos y extensiones de navegador MetaMask falsas.

El motivo de este grupo es puramente financiero, pero su sofisticación en la realización de objetivos ha llevado a los investigadores a concluir previamente que se trata de un subgrupo de la pandilla Lazarus de Corea del Norte.

Aunque BlueNoroff ha estado activo durante varios años, su estructura y funcionamiento han estado rodeados de misterio.

Un informe de Kaspersky intenta arrojar algo de luz utilizando la inteligencia recopilada durante la actividad más reciente observada, que se remonta a noviembre de 2021.

objetivos

Los últimos ataques se centran en empresas emergentes de criptomonedas ubicadas en EE. UU., Rusia, China, India, Reino Unido, Ucrania, Polonia, República Checa, Emiratos Árabes Unidos, Singapur, Estonia, Vietnam, Malta, Alemania y Hong Kong.

Mapa de víctimas en la última campaña
Mapa de víctimas en la última campaña
Fuente: Kaspersky

Los actores de amenazas intentan infiltrarse en las comunicaciones de estas empresas y mapear las interacciones entre los empleados para derivar posibles vías de ingeniería social.

En algunos casos, lo hacen comprometiendo la cuenta de LinkedIn de un empleado y compartiendo un enlace para descargar un documento con macros directamente en la plataforma.

BlueNoroff utiliza estas discusiones reales para nombrar los documentos enlazados en consecuencia y enviarlos al empleado de destino en el momento adecuado.

Correo electrónico utilizado en las últimas campañas de BlueNoroff
Correo electrónico utilizado en las últimas campañas de BlueNoroff
Fuente: Kaspersky

Para rastrear su campaña, incluyen un ícono de un servicio de rastreo de terceros (Sendgrid) para recibir una notificación cuando la víctima abre el documento enviado.

Los nombres y logotipos de la empresa suplantados por BlueNoroff se muestran a continuación:

Logotipos y empresas utilizados para ataques de ingeniería social
Logotipos y empresas utilizados para ataques de ingeniería social
Fuente: Kaspersky

Como señala Kaspersky, es posible que estas empresas no se hayan visto comprometidas y que Sendgrid no sepa (fue notificado) que las APT de Corea del Norte están abusando de ellas.

cadenas de infección

La primera cadena de infección utiliza documentos que incluyen secuencias de comandos VBS, que aprovechan una antigua vulnerabilidad de inyección remota de plantillas (CVE-2017-0199).

Primera cadena de infección
Primera cadena de infección
Fuente: Kaspersky

La segunda cadena de infección se basa en el envío de un archivo que contiene un archivo de acceso directo y un documento protegido con contraseña (Excel, Word o PDF).

Segunda cadena de infección
Segunda cadena de infección
Fuente: Kaspersky

El archivo LNK que supuestamente contiene la contraseña para abrir el documento inicia una serie de secuencias de comandos que obtienen la carga útil de la siguiente etapa.

Eventualmente, en ambos casos, se coloca una puerta trasera con las siguientes funcionalidades en la máquina infectada:

  • Manipulación de directorios/archivos
  • Manipulación de procesos
  • manipulación del registro
  • Ejecutando comandos
  • Actualizando configuración
  • Robo de datos almacenados de Chrome, Putty y WinSCP

Fake MetaMask roba criptomonedas de las víctimas

BlueNoroff roba las credenciales de usuario que se pueden usar para el movimiento lateral y la infiltración más profunda de la red, mientras que también recopilan archivos de configuración relevantes para el software de criptomonedas.

«En algunos casos en los que los atacantes se dieron cuenta de que habían encontrado un objetivo destacado, monitorearon cuidadosamente al usuario durante semanas o meses», se lee. El informe de Kaspersky.

«Recogieron las pulsaciones de teclas y monitorearon las operaciones diarias del usuario mientras planificaban una estrategia para el robo financiero».

El truco principal empleado para robar los activos de criptomonedas es reemplazar los componentes centrales de las extensiones del navegador de administración de billeteras con versiones manipuladas que se colocan en la memoria local.

Componente manipulado en el complemento Metamask con cordones
Componente manipulado en el complemento Metamask con cordones
Fuente: Kaspersky

Kaspersky señala que manipular la extensión Metamask Chrome requiere un análisis exhaustivo de 170 000 líneas de código, lo que indica las habilidades y la determinación de BlueNoroff.

Las víctimas solo pueden detectar que la extensión es falsa cambiando el navegador al modo Desarrollador y viendo la fuente de la extensión apuntando a un directorio local en lugar de a la tienda online.

Extensión que muestra una carpeta local como fuente de instalación
Extensión que muestra una carpeta local como fuente de instalación
Fuente: Kaspersky

Cuando el objetivo usa una billetera de hardware, los actores esperan las transacciones y secuestran las cantidades cambiando la dirección del destinatario.

Debido a que solo tienen una oportunidad antes de que la víctima se dé cuenta de la infección, los actores también cambian el monto de la transacción al máximo posible, agotando los activos en un solo movimiento.

Pistas para la atribución

En el aspecto de la atribución, los investigadores de Kaspersky informan haber visto superposiciones y similitudes entre los scripts de PowerShell y las puertas traseras utilizadas en las campañas más recientes y anteriores.

Similitudes de código entre diferentes puertas traseras
Similitudes de código entre diferentes puertas traseras
Fuente: Kaspersky

Además, el esquema de adquisición de direcciones C2 es similar a los ataques de 2016, utilizando un valor DWORD codificado para resolver una dirección IP a través de XORing.

Por último, los metadatos de los archivos de acceso directo de Windows eliminados como parte de la segunda cadena de infección contienen caracteres coreanos.

Leave a Comment

You may also like

Más