Alrededor de las criptomonedas siempre ha habido un velo oscuro relacionado con los ciberataques. La descentralización y el anonimato que provee la tecnología blockchain ofrece un buen caldo de cultivo para crear ciberamenazas. Así lo vio inicialmente el grupo DeathNote, perteneciente a Lazarus. Sin embargo, parece que el interés por este vector se ha perdido.
Lazarus es un equipo de cibercriminales bien conocido. Estos crearon el grupo DeathNote en 2019 dedicado a atacar con insistencia a empresas relacionadas con las criptomonedas.
Concretamente, Kaspersky ha detectado que en un caso concreto hicieron uso de un malware modificado. A mediados de octubre de 2019, los analistas de la compañía de ciberseguridad encontraron un documento sospechoso subido a VirusTotal. El autor del malware utilizó documentos señuelo relacionados con el negocio de las criptomonedas. En ellos, se incluía un cuestionario sobre la compra de criptomonedas, una introducción a una moneda virtual en particular y lo mismo para una empresa de minería de bitcoin.
Esta fue la primera vez que entró en escena la campaña DeathNote, dirigida a personas y empresas relacionadas con las criptomonedas en Chipre, Estados Unidos, Taiwán y Hong Kong.
De las criptomonedas a otros sectores
En abril de 2020, Kaspersky observó un cambio significativo en los vectores de infección de DeathNote, centrándose en organizaciones dedicadas a la automoción y de corte académico en Europa del Este, todas ellas vinculadas a la industria de la defensa.
El grupo modificó documentos señuelo relacionados con las descripciones del trabajo de contratistas de defensa y también con la diplomacia. Además, elaboró su propia cadena infecciosa mediante inyección de código y software de visualización para archivos PDF que escondía un troyano.
En mayo de 2021, se observó que una empresa de TI europea dedicada a ofrecer soluciones para dispositivos de red y monitorización de servidores se vio comprometida por DeathNote.
Además, a principios de junio de 2021 este subgrupo de Lazarus comenzó a utilizar un nuevo mecanismo para infectar en Corea del Sur. Lo que llamó la atención de los investigadores fue que la etapa inicial del malware fue ejecutada por un software legítimo que se usa de manera recurrente para la seguridad en dicho país.
La campaña en curso se detectó por primera vez en julio de 2022. Lazarus había ciberatacado con éxito un contratista de defensa en África. Todo comenzó con la infección a través de una app de lectura de archivos PDF recibida a través del messenger de Skype. Una vez ejecutado el lector de PDF, se creaba un archivo legítimo denominado ‘CameraSettingsUIHost.exe’ y otro malicioso llamado ‘DUI70.dll’ en el mismo directorio.