Una banda norcoreana aprovechó un error previamente desconocido en Chrome para atacar a organizaciones y robar sus criptomonedas, reveló un equipo de investigadores de Microsoft en un informe.
Según el informe publicado el viernes, los investigadores de ciberseguridad de Microsoft se enteraron por primera vez de los delitos cometidos por los piratas informáticos el 19 de agosto. El informe afirma además que la banda estaba afiliada a Citrine Sleet, conocida por atacar a la industria de las criptomonedas y a los proveedores de servicios financieros en general.
Los hackers aprovecharon fallos en los navegadores
Esto ocurre mientras las criptomonedas se han convertido en un objetivo candente para los piratas informáticos del gobierno de Corea del Norte durante años, y el Consejo de Seguridad de la ONU estima que se robaron 3 mil millones de dólares en criptomonedas entre 2017 y 2023, según un artículo de TechCrunch.
Según los investigadores de Microsoft, la banda de piratas informáticos aprovechó una vulnerabilidad en un motor central de Chromium, que es el código subyacente de Chrome y otros navegadores populares como Edge de Microsoft.
El informe explica además que, cuando los hackers explotaron las fallas en los navegadores, se trataba de una vulnerabilidad de día cero, lo que significa que Google, como fabricante de software, desconocía el error. Según un artículo de TechCrunch, el equipo no tuvo tiempo de publicar una solución antes de que se explotara el error.
Google solucionó el error dos días después, el 21 de agosto, según las explicaciones de los investigadores.
Según TechCrunch , el portavoz de Google, Scott Westover, dijo que el gigante tecnológico había solucionado el error, pero sin dar más detalles.
Pares, Microsoft reveló que había notificado a “clientes objetivo y comprometidos”, aunque no pudo brindar más información sobre el objetivo establecido ni cuántos objetivos y víctimas fueron el objetivo de esta “ola de piratería”
Su portavoz, Chris Williams, se negó a divulgar el número de organizaciones afectadas por esta mala práctica.
Una banda norcoreana ataca los servicios financieros
Según los investigadores, Citrine Sleet tiene su sede en Corea del Norte y se dirige principalmente a proveedores de servicios financieros y personas que administran criptomonedas con fines de lucro y el grupo "ha realizado un reconocimiento extenso de la industria de las criptomonedas y las personas asociadas con ella" como parte de sus técnicas de ingeniería social.
“El actor de amenazas crea sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas y los utiliza para distribuir solicitudes de trabajo falsas o atraer a los objetivos para que descarguen una billetera de criptomonedas armada o una aplicación de comercio basada en aplicaciones legítimas”, se lee en parte del informe.
“Citrine Sleet infecta con mayor frecuencia a sus objetivos con el malware troyano único que desarrolló, AppleJeus, que recopila información necesaria para tomar el control de los activos de criptomonedas de los objetivos”
Informe de Microsoft.
En cuanto a los hackers norcoreanos, los investigadores revelaron que comenzaron engañando a una víctima para que visitara un dominio web bajo su control. El informe explica además que, gracias a otra vulnerabilidad en el kernel de Windows, los hackers lograron instalar malware con acceso profundo al sistema operativo en el dispositivo de la víctima. Obtuvieron el control total de los datos y el dispositivo de la víctima.
Según TechCrunch, debido a las estrictas sanciones internacionales, el régimen de Corea del Norte ha recurrido a actividades criptográficas ilícitas para financiar sus armas nucleares.
