Un grupo de manaza patrocinado por el Estado norcoreano, conocido como Lazarus, vuelve a intentar comprometer a los investigadores de ciberseguridad, esta vez con una versión pirata troyanizada de la popular aplicación de ingeniería inversa, IDA Pro.
IDA Pro es una aplicación que convierte un ejecutable en lenguaje ensamblador, lo que permite a los investigadores de seguridad y a los programadores analizar el funcionamiento de un programa y descubrir posibles fallos.
Los investigadores de seguridad suelen utilizar IDA para analizar el software legítimo en busca de vulnerabilidades y el malware para determinar qué comportamiento malicioso realiza. Sin embargo, como IDA Pro es una aplicación costosa, algunos investigadores descargan una versión pirata crackeada en lugar de comprarla.
Como con cualquier software pirata, siempre existe el riesgo de que sea modificado para incluir ejecutables maliciosos, que es precisamente lo que el investigador de ESET Anton Cherepanov descubrió en una versión pirata de IDA Pro distribuida por el grupo de hackers Lazarus.
ESET publico en su Twitter una versión maliciosa de IDA Pro 7.5, descubierta por Cherepanov, que se está distribuyendo en Internet para dirigirse a los investigadores de ciberseguridad. Este instalador de IDA ha sido modificado para incluir dos DLLs maliciosas llamadas idahelp.dll y win_fw.dll que se ejecutarán cuando se instale el programa.
El archivo «win_fw.dll» creará una nueva tarea en el Programador de Tareas de Windows que lanzará el programa denominado como «idahelper.dll».
El idahelper.dll se conectará entonces al sitio devguardmap[.]org y descarga payloads que se cree que son el troyano de acceso remoto NukeSped. La RAT instalada permitirá a los actores de la amenaza el poder acceder al dispositivo del investigador de seguridad para robar archivos, tomar capturas de pantalla, registrar las pulsaciones de teclas o ejecutar otros comandos.
El grupo de amenaza Lazarus, también conocido como «Zinc» por Microsoft, tiene un largo historial de ataques a investigadores de ciberseguridad con la instalación de puertas traseras y troyanos de acceso remoto. En enero, Google reveló que Lazarus llevó a cabo una campaña en las redes sociales para crear personajes falsos que se hacían pasar por investigadores de vulnerabilidades.
Utilizando estos personajes, el grupo se ponía en contacto con otros investigadores de ciberseguridad para colaborar en la investigación de vulnerabilidades. Tras establecer contacto con un investigador, un miembro del grupo le enviaban proyectos de Visual Studio relacionados con una supuesta «vulnerabilidad», que contenían una DLL maliciosa oculta llamada «vcxproj.suo». Cuando el investigador intentaba construir el proyecto, un evento de precompilación ejecutaba la DLL, que actuaba como una puerta trasera personalizada instalada en el dispositivo del investigador. Otros ataques de Lazarus también utilizaron un día cero de Internet Explorer para desplegar malware en los dispositivos de los investigadores de seguridad cuando visitaban enlaces enviados por los atacantes.
Aunque nunca se determinó cuál era el objetivo final de estos ataques, es probable que fuera robar vulnerabilidades y exploits de seguridad no revelados que el grupo Lazarus pudiera utilizar en sus propios ataques.
Alerta Temprana de Riesgos Cibernéticos
Gestión de la Superficie de Ataque
Cyber Threat Intelligence
