Los piratas informáticos norcoreanos establecieron 3 compañías de shell para estafar criptográficos

Un subgrupo de la organización de piratas informáticos vinculados a Corea del Norte, Lazarus estableció tres compañías Shell, dos en los Estados Unidos, para entregar malware a usuarios desprevenidos.

Las tres firmas consultor de criptoveres, Blocknovas, Angeloper Agency y Softglide, están siendo utilizadas por la entrevista contagiosa del grupo de piratas informáticos norcoreanos para distribuir malware a través de entrevistas de trabajo falsas, dijeron los analistas de amenazas de empuje de silencio en un informe del 24 de abril.

El analista senior de amenazas de Silent Push, Zach Edwards, dijo en una declaración del 24 de abril a X que dos compañías Shell están registradas como negocios legítimos en los Estados Unidos.

“Estos sitios web y una gran red de cuentas sobre los sitios web de contratación / reclutamiento se están utilizando para engañar a las personas para que soliciten trabajo”, dijo.

“Durante el proceso de solicitud de empleo, se muestra un mensaje de error cuando alguien intenta grabar un video de introducción. La solución es un truco de Copiar y pegar Copiar y pegar fácilmente, lo que conduce a malware si el desarrollador desprevenido completa el proceso”.

Se están utilizando tres cepas de malware (Beavertail, Invisibleferret y Otter Cookie) de acuerdo con Silent Push.

Beaverail es el malware diseñado principalmente para robo de información y para cargar más etapas de malware. OtterCookie e Invisibleferret se dirigen principalmente a la información confidencial, incluidas las teclas de billetera criptográfica y los datos del portapapeles.

Los analistas de Silent Push dijeron en el informe que los piratas informáticos usan sitios web de Listados de Job Github y Freelance para buscar víctimas, entre otras.

AI solía crear empleados falsos

La artimaña también involucra a los piratas informáticos que usan imágenes generadas por IA para crear perfiles de empleados para las tres compañías criptográficas delanteras y robar imágenes de personas reales.

“Hay numerosos empleados falsos e imágenes robadas de personas reales que se utilizan en esta red. Hemos documentado algunas de las falsificaciones obvias e imágenes robadas, pero es muy importante apreciar que los esfuerzos de suplantación de esta campaña son diferentes”, dijo Edwards.

“En uno de los ejemplos, los actores de amenaza tomaron una foto real de una persona real, y luego parecía haberla ejecutado a través de una herramienta de modificador de imagen AI para crear una versión sutilmente diferente de esa misma imagen”.

Relacionado: Malware falso de zoom roba cripto

Esta campaña de malware ha estado en curso desde 2024. Edwards dice que hay víctimas públicas conocidas.

Silent Push identificó a dos desarrolladores dirigidos por la campaña; Según los informes, uno de ellos tenía su billetera Metamask comprometida.

Desde entonces, el FBI ha cerrado al menos una de las empresas.

“La Oficina Federal de Investigación (FBI) adquirió el dominio Blocknovas, pero Softglide todavía está en vivo, junto con algunas de sus otras infraestructuras”, dijo Edwards.

Al menos tres fundadores criptográficos informaron en marzo que frustraron un intento de presuntos piratas informáticos de Corea del Norte para robar datos confidenciales a través de llamadas falsas de zoom.

Grupos como The Lazarus Group son los principales sospechosos en algunos de los mayores robos cibernéticos en Web3, incluido el truco Bybit de $ 1.4 mil millones y el hack de la red Ronin de $ 600 millones.

Revista: El exploit favorito de Lázarus Group reveló: Análisis de Crypto Hacks