El departamento de inteligencia de amenazas de Google Cloud ha descubierto que los atacantes cibernéticos respaldados por el gobierno de Corea del Norte están atacando activamente a las exchanges de criptomonedas y a las empresas fintech de Brasil.
El informe de inteligencia de amenazas de Google del 13 de junio destacó intentos coordinados de secuestrar, extorsionar y defraudar a individuos y organizaciones brasileñas.
Mientras que los grupos norcoreanos se enfocan principalmente en empresas de criptomonedas, aeroespaciales, de defensa y entidades gubernamentales, los criminales cibernéticos respaldados por el gobierno chino prefieren atacar solo a las organizaciones gubernamentales y al sector energético en Brasil.
La trama detrás de los ciberataques en Brasil
El notorio grupo cibercriminal norcoreano Pukchong (también conocido como UNC4899) ha atacado a ciudadanos y organizaciones brasileñas a través del mercado laboral. Engañaron a buscadores de empleo desprevenidos para que descargaran malware en sus sistemas.
Según el informe: “El proyecto era una app Python troyanizada para recuperar precios de criptomonedas que fue modificada para conectarse a un dominio controlado por atacantes para recuperar una segunda carga útil si se cumplían ciertas condiciones.”
Ataques de malware similares perpetrados por GoPix y URSA también se encontraron activamente dirigidos a empresas de criptomonedas brasileñas.
Ataques más allá de las fronteras
Recientemente, el proveedor de billeteras de criptomonedas Trust Wallet pidió a los usuarios de Apple desactivar iMessage, citando “inteligencia creíble” de una vulnerabilidad de día cero que podría permitir a los hackers tomar control de los teléfonos de los usuarios.
Una vulnerabilidad de día cero es un vector de ataque cibernético que aprovecha una falla de seguridad desconocida o no resuelta en software, hardware o firmware.
La empresa de ciberseguridad Kaspersky descubrió recientemente que el grupo de hackers norcoreanos Kimsuky utilizó supuestamente una nueva variante de malware llamada “Durian” para lanzar ataques a empresas de criptomonedas surcoreanas.
“Durian cuenta con una funcionalidad completa de backdoor, que permite la ejecución de comandos entregados, descargas adicionales de archivos y exfiltración de archivos,” escribió Kaspersky.
Además, Kaspersky señaló que LazyLoad también fue utilizado por Andariel, un subgrupo dentro del consorcio de hackers norcoreanos Lazarus Group, lo que sugiere una conexión “tenue” entre Kimsuky y el grupo de hackers más notorio.
Descubre más desde TEKIOS
Suscríbete y recibe las últimas entradas en tu correo electrónico.
