Corea del Norte ataca a trabajadores cripto con malware robador de datos

En el mundo actual, donde la tecnología avanza a pasos agigantados, el sector de las criptomonedas se ha convertido en un objetivo atractivo para los ciberdelincuentes. En este contexto, un nuevo tipo de malware ha emergido, diseñado específicamente para atacar a los trabajadores del sector cripto. Este fenómeno, impulsado por un grupo de hackers vinculado a Corea del Norte, utiliza tácticas engañosas para atraer a las víctimas y robar información crítica. A continuación, profundizaremos en cómo operan estos atacantes y las implicaciones que esto tiene para los profesionales del sector.

El auge de los ataques cibernéticos dirigidos a trabajadores del sector cripto

Recientemente, se ha reportado que un grupo de hackers alineados con Corea del Norte ha intensificado sus esfuerzos para atacar a personas en busca de empleo dentro de la industria de criptomonedas. Este ataque se realiza a través de un malware conocido como “PylangGhost”, que se especializa en robar credenciales de acceso a billeteras digitales y gestores de contraseñas.

Cisco Talos, un grupo de inteligencia de amenazas, ha identificado estas actividades y ha señalado que el malware se asocia con un colectivo de hackers conocido como “Famous Chollima”, que también es llamado “Wagemole”. Este grupo ha enfocado sus esfuerzos principalmente en individuos con experiencia en tecnologías de blockchain y criptomonedas, siendo India un objetivo particular debido a su creciente sector tecnológico.

La estrategia de ataque se basa en el uso de ingeniería social, donde los atacantes crean un ambiente de confianza para atraer a las víctimas a sus redes maliciosas. Este enfoque no es nuevo, pero su sofisticación ha aumentado, haciéndolo más difícil de detectar.

Cómo los sitios de empleo falsos operan como trampas mortales

Una de las tácticas más comunes que utilizan estos cibercriminales es la creación de sitios web de empleo que emulan a empresas legítimas como Coinbase, Robinhood y Uniswap. Estas páginas fraudulentas están diseñadas para parecer creíbles, lo que incrementa la posibilidad de que los usuarios caigan en la trampa.

El proceso que siguen estos atacantes incluye varios pasos que buscan recopilar información personal de las víctimas:

• Contactar a las víctimas a través de correos electrónicos o mensajes falsos, haciéndose pasar por reclutadores legítimos.
• Dirigir a las víctimas a pruebas de habilidades falsas en sitios web diseñados para la recolección de datos.
• Utilizar técnicas de ingeniería social para convencer a las víctimas de activar sus cámaras web durante entrevistas ficticias.
• Engañar a las víctimas para que instalen software malicioso bajo la apariencia de controladores de video necesarios.

Este proceso meticuloso deja a las víctimas expuestas y facilita la infección de sus dispositivos, permitiendo el acceso a información sensible.

Funciones del malware en busca de billeteras cripto

PylangGhost no es un malware ordinario; se trata de un troyano de acceso remoto (RAT) que permite el control completo del dispositivo infectado. Este malware ha sido diseñado para buscar billeteras digitales y gestores de contraseñas, robando información crítica que puede llevar a pérdidas financieras significativas.

Los investigadores de Cisco Talos han detallado que, una vez ejecutado, el malware puede:

• Controlar de forma remota el sistema infectado.
• Robar credenciales y cookies de más de 80 extensiones de navegador.
• Acceder y robar información de billeteras digitales como MetaMask, 1Password, y TronLink.

Este tipo de malware resulta especialmente peligroso en el contexto de las criptomonedas, donde la seguridad de las billeteras digitales es crucial para proteger los activos de los usuarios.

Malware multitarea: más allá del robo de información

Además de su capacidad para robar credenciales, PylangGhost es un malware multitarea que puede realizar una serie de acciones adicionales. Entre sus funcionalidades se incluyen:

• Tomar capturas de pantalla para recopilar información visual.
• Gestionar archivos dentro del sistema infectado.
• Recopilar información del sistema operativo y software instalado.
• Permitir el acceso remoto permanente para futuros ataques.

Los expertos también han señalado que, a pesar de la sofisticación del malware, es poco probable que los actores de amenazas hayan utilizado inteligencia artificial avanzada para su desarrollo, lo cual podría haber mejorado aún más su efectividad.

Un patrón recurrente: el uso de señuelos de empleo falsos

El uso de empleos y entrevistas falsas como señuelos por parte de hackers no es algo nuevo. En el pasado, hemos visto cómo estos grupos han atacado a diferentes profesionales, especialmente en el sector de la tecnología y las criptomonedas. En abril, se reportó que un grupo de hackers relacionado con Corea del Norte robó 1.400 millones de dólares de Bybit utilizando tácticas similares.

Este tipo de engaño ha evolucionado en complejidad, lo que hace que la prevención y detección de estos ataques sea un desafío constante para la comunidad de seguridad cibernética. La educación y la conciencia son fundamentales para mitigar estos riesgos.

Es crucial que los profesionales del sector cripto permanezcan alerta y se informen sobre las tácticas de ataque utilizadas por los ciberdelincuentes. La seguridad digital no debe tomarse a la ligera, y las medidas preventivas pueden marcar la diferencia entre proteger o exponer información valiosa.

Para aquellos interesados en profundizar más sobre la amenaza que representan los ataques cibernéticos en el sector de criptomonedas, se recomienda explorar el siguiente video:

En un entorno donde las criptomonedas y la tecnología blockchain están en constante evolución, estar informado y preparado puede ser la clave para evitar convertirse en una víctima de estos ciberataques. La vigilancia y la educación son las herramientas más efectivas para combatir la creciente amenaza de los hackers en esta era digital.

Si quieres conocer otros artículos parecidos a Corea del Norte ataca a trabajadores cripto con malware robador de datos puedes visitar la categoría Seguridad.