‘El atacante acabó en cinco minutos’: los expertos advierten sobre una campaña vinculada a Corea del Norte que utiliza reuniones falsas de Zoom para atacar a los ejecutivos de criptomonedas

Los atacantes patrocinados por el estado crearon videollamadas falsas creíbles para atacar a las empresas de criptomonedas
Un truco para secuestrar el portapapeles reemplaza comandos benignos con código que implementa malware
La operación permite un rápido robo de credenciales, persistencia y compromiso total del sistema.

Los investigadores de seguridad Arctic Wolf han revelado detalles de una campaña altamente sofisticada dirigida a empresas norteamericanas de Web3 y criptomonedas.

Es operado por actores de amenazas patrocinados por el estado llamados BlueNoroff, un subgrupo motivado financieramente del temido Grupo Lazarus de Corea del Norte, con el objetivo de establecer un acceso implacable a los dispositivos de sus objetivos.

Lo hacen engañando a la víctima para que instale ellos mismos malware en el ordenador, pero la forma en que lo hacen es bastante sofisticada.

El artículo continúa a continuación.

ClicFix ha entrado al chat

Al preparar un ataque, los actores de amenazas utilizarán personas reales y de alto valor del mundo Web3, crearán fotografías de rostros convincentes utilizando ChatGPT y crearán videos semianimados con Adobe Premiere Pro 2021.

Luego crearán un sitio web falso de videollamadas de Zoom similar a la página de llamadas de Zoom original y mostrarán el video para que parezca más convincente.

Luego, BlueNoroff invitará a la víctima real a través de Calendly, aproximadamente medio año en el futuro (probablemente para que parezca más creíble; después de todo, las personas importantes están muy ocupadas).

Cuando la víctima hace clic en el enlace de Zoom, ve lo que está acostumbrada a ver: una página de videollamada donde la persona del otro lado se mueve y actúa como si fuera real. Sin embargo, dentro de los ocho segundos posteriores a la llamada, aparecerá un mensaje en la pantalla indicando que su “SDK ha quedado obsoleto” y presentándoles un botón “Actualizar ahora”.

El botón conduce a un truco típico de ClickFix: para “solucionar” el problema, la víctima tiene que copiar y pegar un comando. Pero como muchas personas ahora son conscientes de estos ataques, BlueNoroff va un paso más allá: el código que se copia es en realidad legítimo y benigno.

Sin embargo, el sitio web falso de Zoom incorporó una aplicación JavaScript maliciosa que maneja la acción de “copiar”, intercepta el evento del portapapeles en el navegador y reemplaza lo que los usuarios creen que han copiado con un código diferente.

Este código, cuando se ejecuta, instala malware en el dispositivo que establece acceso remoto al sistema, lo que permite a BlueNoroff extraer credenciales, tokens de sesión y otros datos comerciales confidenciales y moverlos lateralmente a través de la red.

“La cadena de ejecución técnica de esta campaña es eficiente y efectivamente disciplinada”, afirmó Arctic Wolf. “Desde el clic inicial en la URL hasta el compromiso completo del sistema, incluido el establecimiento de C2, el robo de sesión de Telegram, la recopilación de certificados del navegador y la persistencia, el atacante completó en cinco minutos”.