Los hackers de Lazarus usaron LinkedIn para atacar una empresa de criptografía

El grupo norcoreano Lazarus ha vuelto, y una vez más, está intentando hacerse con el mayor número posible de monedas digitales. El infame equipo de hackers parece haber ideado una nueva campaña que gira en torno a la organización criptográfica explotando LinkedIn y el elemento humano de las corporaciones.

Lazarus está de vuelta con una nueva campaña

Según un informe reciente publicado por investigadores de F-Secure, la organización criptográfica fue recientemente objeto de una nueva campaña masiva. La campaña supuestamente se dirigió a empresas y organizaciones de por lo menos 14 países diferentes.

Como se ha mencionado, el atacante es Lazarus, que ha sido vinculado a un número de hackeos contra empresas de criptografía.

Los hackers norcoreanos han estado atacando el cripto desde hace bastante tiempo, ya que las monedas digitales hacen relativamente fácil eludir las sanciones económicas contra el país. El grupo en sí ha estado activo desde al menos 2007, según el gobierno de Estados Unidos .

Desde entonces, ha tenido numerosos hackeos de alto perfil, y ha llevado a cabo algunas campañas masivas, incluyendo el ataque global de rescate de hace unos años, conocido como WannaCry.

¿Cómo funciona el ataque?

La nueva campaña de Lazarus parece estar basada en anuncios de trabajo de LinkedIn, donde los hackers se dirigen a los administradores de sistemas humanos. Proporcionarían a los administradores un documento de phishing, que se envía a su cuenta personal de LinkedIn. El documento está relacionado con una empresa de tecnología de cadenas de bloques que supuestamente está buscando nuevos administradores de sistemas.

Sin embargo, la víctima primero necesita habilitar las macros para que el código malicioso del documento sea efectivo. Una vez que el permiso necesario es concedido, el documento ejecutaría un archivo llamado mshta.exe, y llamaría a un enlace ligado a VBScript.

El script entonces realiza comprobaciones del sistema y envía datos operativos al servidor C2, propiedad de los hackers. Al infectar el dispositivo, los hackers pueden recoger credenciales de la máquina de los usuarios, y parecen estar más interesados en aquellos que tienen valor financiero, que en su mayoría incluye carteras de criptomoneda y cuentas bancarias.

F-Secure también señaló que Lazarus está tratando de borrar los rastros de su actividad y ser lo más sigiloso posible, aunque los investigadores todavía pueden encontrar algunos rastros de su presencia.