NUEVA CAMPAÑA DEL GRUPO LAZARUZ

27/12/2022

BOLETÍN NRO 2022-755

Recientemente el grupo Lazarus, con sede en Corea del Norte, ha sido vinculado a una campaña de phishing dirigida a inversores de NFT según los investigadores de seguridad.

Servicios Afectados

• Sistemas operativos Windows

Detalles Tecnicos

CVE: ---                                    Severidad:   MEDIA

Esta campaña fue detectada por primera vez por los investigadores en septiembre, que posteriormente la analizaron en profundidad. Se descubrió que los atacantes habían creado casi sitios falsos.

Estas webs suplantan a conocidos mercados de NFT como OpenSea, X2Y2 y Rarible para embaucar a las víctimas. Además, uno de estos sitios se hacía pasar por un proyecto asociado a la Copa del Mundo. Durante la fase inicial de la campaña, la APT monitorizaba y registraba los datos de los usuarios a través de un dominio llamado hedoodles[.]site.

El ataque comienza con el envío de correos electrónicos de spam que contienen enlaces a páginas de phishing de aspecto legítimo. Una vez que el inversor hace clic en el enlace, es conducido a un sitio falso con la misma marca e incluso el mismo diseño.

El sitio solicita a las víctimas información personal y detalles de la inversión, que posteriormente se transfieren a los atacantes. De este modo, el grupo Lazarus consigue un acceso completo a las cuentas de las víctimas, incluidos sus registros de aprobación y sigData.

Se observó hace un par de meses una nueva oleada de ataques NFT-001 que entregaban Remcos RAT en la primera etapa y Eternity Stealer en la segunda. La campaña fue diseñada principalmente para atacar a los usuarios de las comunidades de criptomonedas y NFT en Discord y otros foros. 

En otro incidente, los ciberdelincuentes lanzaron NFT maliciosos simulando ser actualizaciones de seguridad de Phantom para atacar a los propietarios de la criptomoneda Solana. El objetivo final de los atacantes era robar fondos de los usuarios.

Indicadores de Compromiso

Dominio

wirexpro[.]com

telloo[.]io

strainservice[.]com

rebelthumb[.]net

oilycargo[.]com

bloxholder[.]com

Hash

MD5: 18644822140eda7493bd75ba1e1f235d

SHA-256: fe948451df90df80c8028b969bf89ecbf501401e7879805667c134080976ce2e

MD5: aa71a7a597e71b8fca56f30c329c8b5c

SHA-256: efaf52549ffcc8a16373a8f7f0bddebabc3edc17f71b0158bbaf89c1b29a6043

MD5: 245bb604621cea7962668325995bca7c

SHA-256: eee4e3612af96b694e28e3794c4ee4af2579768e8ec6b21daf71acfc6e22d52b

MD5: 61923b65c963b82a063ec07dcb32db1a

SHA-256: e5980e18319027f0c28cd2f581e75e755a0dace72f10748852ba5f63a0c99487

MD5: 9319c3e14e1a60888ae6b2477668f7ba

SHA-256: abca3253c003af67113f83df2242a7078d5224870b619489015e4fde060acad0

MD5: 34ae87e0693e5c0962564559514649f2

SHA-256: a2d3c41e6812044573a939a51a22d659ec32aea00c26c1a2fdf7466f5c7e1ee9

MD5: 76111d9780b2d0b5adee61cf752d937e

SHA-256: 9352625b3e6a3c998e328e11ad43efb5602fe669aed9c9388af5f55fadfedc78

MD5: fe97c113301e79932b65ce87439d464b

SHA-256: 90b0a4c9fe8fd0084a5d50ed781c7c8908f6ade44e5654acffea922e281c6b33

MD5: b450d946b4617dca9f0c2ad4f9a936c9

SHA-256: 82d6b2e14763f398d2a559d3f7fbf2f7a3c7f9001c8dcdf4543d4ff0b97a8785

MD5: 8077b9696bfeae73e5238868e4aaa161

SHA-256: 636813038ba5c9755aa881ae62e2911df3b8f84ad1d2ff682e325e00d24d4a74

MD5: 435c7b4fd5e1eaafcb5826a7e7c16a83

SHA-256: 479cc0a490ffa98652683796c5cef12f3e6380107aac83321a9705048b801b54

MD5: e66bc1e91f1a214d098cf44ddb1ae91a

SHA-256: 2e8d2525a523b0a47a22a1e9cc9219d6526840d8b819d40d24046b17db8ea3fb

MD5: ec3f99dd7d9dbce8d704d407b086e84f

SHA-256: 295c20d0f0a03fd8230098fade0af910b2c56e9e5700d4a3344d10c106a6ae2a

MD5: 51871504c1d5c09ade5e2a1e6e98c37a

SHA-256: 17e6189c19dedea678969e042c64de2a51dd9fba69ff521571d63fd92e48601b

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

• Bloquear los indicadores de compromisos (IOC) mostrados, en los dispositivos de seguridad de su infraestructura.

** Antes de realizar el bloqueo de IoCs o aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Lazarus APT Uses Phishing Domains to Target NFT Investors
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​​