El ciberguerrero colectivo norcoreano conocido como Lazarus implementó una nueva táctica en su arsenal, esta vez aprovechando la popular plataforma profesional LinkedIn. Fue con el objetivo de lanzar ataques dirigidos y saquear los activos de usuarios desprevenidos mediante el despliegue de malware.
La noticia se conoció cuando la empresa de seguridad blockchain SlowMist destapó que los piratas informáticos de Lazarus están disfrazando sus actividades bajo el pretexto de búsqueda de empleo como desarrolladores de blockchain en la esfera de las criptomonedas, todo a través de LinkedIn.
Estafas digitales: cómo funcionan
De acuerdo con SlowMist, los atacantes logran su cometido al solicitar acceso a los repositorios (espacio donde se almacena información digital), donde despliegan fragmentos de malware que se hacen pasar por material relevante.
"Te dicen que están desarrollando una increíble solución a algo que ven en el perfil de la empresa y te invitan a entrar en un repositorio. Una vez ejecutado, este código malicioso facilita el robo de datos sensibles y activos financieros", comenta a iProUP el fiscal de cibercrimen Franco Pilnik.
El especialista agrega que "el malware puede tener una amplia variedad de formas y funciones, incluyendo virus, gusanos, troyanos, ransomware, spyware y adware".
Julio Revelante, especialista en ciberfraude, recuerda a iProUP la importancia de revisar antes de hacer click: "Lo que generalmente es indispensable en este tipo de trampas, más allá de sus formas, es que la víctima entre en algún enlace o acepte algo".
Lazarus está vinculado con el régimen de Corea del Norte
Para quienes conviven con información relacionada a estos ataques, el patrón de velocidad o ansiedad con el que mucha gente vive es muy gravitante.
"A veces cuesta tomar por costumbre la constatación de veracidad de lo que me están pidiendo. ¿Me hablan del banco?, bueno chequeo que eso sea cierto", ejemplifica Revelante.
En paralelo al ritmo acelerado de vida que llevamos se destaca la mutación de los intentos de estafas: "Son como una moda. En un momento les funcionó más el 'cuento del tío', hoy atacan por redes sociales. Lo elemental es estar atentos", cierra Pilnik.
Emily Phelps, directora del proveedor de inteligencia sobre amenazas de ciberseguridad Cyware, dijo recientemente a Forbes: "Si bien las plataformas como LinkedIn están destinadas a la creación de redes profesionales, su accesibilidad las convierte en canales principales para que los atacantes se dirijan a sus víctimas potenciales".
Lazarus, como otros estafadores de menor renombre, utilizan la confianza que los individuos depositan en dichas plataformas y su deseo de aprovechar oportunidades, como ofertas de trabajo de grandes empresas.
Estafas digitales: antecedentes de Lazarus
Este no es el primer caso en que Lazarus utiliza plataformas de redes sociales para sus objetivos. En diciembre de 2023, el grupo perpetró un ataque similar al hacerse pasar por un reclutador ficticio de Meta.
Se estima que Lazarus ya robó más de u$s3.000 millones en criptomonedas
Siguiendo la modalidad anterior, los estafadores contactaban a sus víctimas a través de LinkedIn y les pedían descargar desafíos de codificación como parte del proceso de reclutamiento.
Sin embargo, estos archivos estaban infectados con malware que, al ser ejecutado, permitía el acceso remoto a la máquina comprometida.
Estos software maliciosos pueden ser utilizados para una variedad de propósitos malintencionados, como robar información personal o confidencial, dañar archivos o sistemas y realizar ataques de denegación de servicio (DDoS).
También pueden secuestrar sistemas para solicitar el rescate de la información en dinero (ransomware) o incluso controlar de forma remota los dispositivos infectados.
Estafas digitales: los robos de Lazarus
La lista de antecedentes de Lazarus es extensa y lucrativa. Con más de u$s3.000 millones en criptomonedas robadas hasta la fecha: "Sin dudas es el grupo actores más prominentes y persistentes en el panorama del cibercrimen desde su surgimiento en 2009", recuerda Revelante.
Sus tácticas innovadoras no conocen límites. En agosto de 2023, el grupo empleó entrevistas de trabajo falsas para saquear u$s37 millones de la firma de pagos criptográficos CoinPaid, engañando a individuos con ofertas laborales tentadoras.
Entre sus golpes más notorios se encuentra el hackeo del puente Ronin en 2022, que les reportó un botín de u$s625 millones.
Para lavar sus ganancias ilícitas, Lazarus recurre a servicios de mezcla de criptomonedas, lo que dificulta su rastreo. Estos fondos, según informes, se destinan a financiar operaciones militares en Corea del Norte.
A pesar de que las empresas de criptomonedas son objetivos habituales para los hackers, la naturaleza descentralizada de la tecnología blockchain complica la tarea de mover los fondos robados.
Con el apoyo de las plataformas de criptomonedas, estos activos suelen ser identificados y bloqueados.
En febrero de 2023, Huobi y Binance congelaron 1.4 millones de dólares en activos criptográficos vinculados a Corea del Norte. Asimismo, se bloquearon 63 millones de dólares en activos relacionados con el hackeo del puente Harmony.