Los piratas informáticos y los ciberdelincuentes han estado apuntando a los criptoinversores con dos nuevas amenazas de malware que exploran Internet en busca de inversores desprevenidos para robar sus fondos.
Según un reciente informe por el software antimalware Malwarebytes, dos nuevas amenazas de seguridad cibernética, que incluyen el ransomware MortalKombat recientemente descubierto y una variante GO del malware Laplas Clipper, se han implementado en campañas destinadas a robar criptomonedas de las víctimas.
Las víctimas del nuevo ataque de phishing se encuentran predominantemente en los Estados Unidos, con un porcentaje menor de víctimas en el Reino Unido, Turquía y Filipinas.
El equipo de investigación de inteligencia de amenazas de la compañía, Cisco Talos, dijo que observaron al criminal escaneando Internet en busca de objetivos potenciales con un puerto 3389 de protocolo de escritorio remoto (RDP) expuesto, un protocolo patentado que proporciona al usuario una interfaz gráfica para conectarse a otra computadora. una conexión de red.
La investigación dijo que la campaña comienza con un correo electrónico de phishing “e inicia una cadena de ataque de varias etapas en la que el actor entrega malware o ransomware, luego elimina la evidencia de archivos maliciosos, cubre sus huellas y cuestiona el análisis”.
El correo electrónico de phishing viene con un archivo ZIP malicioso que contiene un script del cargador BAT, que descarga otro archivo ZIP malicioso cuando la víctima lo abre. El malware también infla el dispositivo de la víctima y ejecuta la carga útil, que es la variante GO del malware Laplas Clipper o el ransomware MortalKombat.
“El script del cargador ejecutará la carga útil soltada como un proceso en la máquina de la víctima, luego eliminará los archivos maliciosos descargados y soltados para limpiar los marcadores de infección”, detalla el informe.
Talos señaló que un vector habitual de ataque para los delincuentes ha sido un correo electrónico de phishing en el que se hacen pasar por CoinPayments, una pasarela de pago de criptomoneda global legítima.
Para que los correos electrónicos parezcan aún más legítimos, tienen un remitente falsificado, “noresponder”.[at]CoinPagos[.]net”, y el asunto del correo electrónico “[CoinPayments[.]net]Pago agotado”.
En esta ocasión específica, se adjunta un archivo ZIP malicioso con un nombre de archivo que se asemeja a un ID de transacción mencionado en el cuerpo del correo electrónico, lo que atrae a la víctima a descomprimir el archivo adjunto malicioso para ver el contenido, que es un cargador BAT malicioso.
Las amenazas de ransomware aumentan mientras que los ingresos disminuyen
Los ataques de ransomware y ciberseguridad siguen aumentando. Sin embargo, las víctimas se han mostrado cada vez menos dispuestas a pagar a los atacantes por sus demandas, según un informe reciente de Chainalysis, que reveló que los ingresos por ransomware para los atacantes se desplomaron un 40 % el año pasado.
Vale la pena señalar que los grupos de piratería de Corea del Norte representan una gran parte de las actividades cibernéticas ilícitas. Recientemente, las agencias de inteligencia de Corea del Sur y Estados Unidos advirtieron que los piratas informáticos con sede en Pyongyang están tratando de atacar a las “principales instituciones internacionales” con ataques de ransomware.
En diciembre de 2022, Kaspersky también reveló que BlueNoroff, un subgrupo del grupo de piratería Lazarus, patrocinado por el estado de Corea del Norte, se hace pasar por capitalistas de riesgo que buscan invertir en nuevas empresas de criptomonedas con un nuevo método de phishing.
