Blog

Nuevamente, Lazarus Group tienen a la mira a los investigadores de ciberseguridad

Un grupo de manaza patrocinado por el Estado norcoreano, conocido como Lazarus, vuelve a intentar comprometer a los investigadores de ciberseguridad, esta vez con una versión pirata troyanizada de la popular aplicación de ingeniería inversa, IDA Pro.

IDA Pro es una aplicación que convierte un ejecutable en lenguaje ensamblador, lo que permite a los investigadores de seguridad y a los programadores analizar el funcionamiento de un programa y descubrir posibles fallos.

Los investigadores de seguridad suelen utilizar IDA para analizar el software legítimo en busca de vulnerabilidades y el malware para determinar qué comportamiento malicioso realiza. Sin embargo, como IDA Pro es una aplicación costosa, algunos investigadores descargan una versión pirata crackeada en lugar de comprarla.

Como con cualquier software pirata, siempre existe el riesgo de que sea modificado para incluir ejecutables maliciosos, que es precisamente lo que el investigador de ESET Anton Cherepanov descubrió en una versión pirata de IDA Pro distribuida por el grupo de hackers Lazarus.

ESET publico en su Twitter una versión maliciosa de IDA Pro 7.5, descubierta por Cherepanov, que se está distribuyendo en Internet para dirigirse a los investigadores de ciberseguridad. Este instalador de IDA ha sido modificado para incluir dos DLLs maliciosas llamadas idahelp.dll y win_fw.dll que se ejecutarán cuando se instale el programa.

El archivo «win_fw.dll» creará una nueva tarea en el Programador de Tareas de Windows que lanzará el programa denominado como «idahelper.dll».

El idahelper.dll se conectará entonces al sitio devguardmap[.]org y descarga payloads que se cree que son el troyano de acceso remoto NukeSped. La RAT instalada permitirá a los actores de la amenaza el poder acceder al dispositivo del investigador de seguridad para robar archivos, tomar capturas de pantalla, registrar las pulsaciones de teclas o ejecutar otros comandos.

El grupo de amenaza Lazarus, también conocido como «Zinc» por Microsoft, tiene un largo historial de ataques a investigadores de ciberseguridad con la instalación de puertas traseras y troyanos de acceso remoto. En enero, Google reveló que Lazarus llevó a cabo una campaña en las redes sociales para crear personajes falsos que se hacían pasar por investigadores de vulnerabilidades.

Utilizando estos personajes, el grupo se ponía en contacto con otros investigadores de ciberseguridad para colaborar en la investigación de vulnerabilidades. Tras establecer contacto con un investigador, un miembro del grupo le enviaban proyectos de Visual Studio relacionados con una supuesta «vulnerabilidad», que contenían una DLL maliciosa oculta llamada «vcxproj.suo». Cuando el investigador intentaba construir el proyecto, un evento de precompilación ejecutaba la DLL, que actuaba como una puerta trasera personalizada instalada en el dispositivo del investigador. Otros ataques de Lazarus también utilizaron un día cero de Internet Explorer para desplegar malware en los dispositivos de los investigadores de seguridad cuando visitaban enlaces enviados por los atacantes.

Aunque nunca se determinó cuál era el objetivo final de estos ataques, es probable que fuera robar vulnerabilidades y exploits de seguridad no revelados que el grupo Lazarus pudiera utilizar en sus propios ataques.

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Alterta Temprana de Riesgos
Reduce tu ventana de exposición al riesgo a las amenazas externas, mejorando la eficiencia en la detección y respuesta ante ciberamenazas.
Más Info
Hdiv - Protege tus aplicaciones Web y API
La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Accede al Demo Gratuito
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad