Ciberpiratas de Corea del Norte explotan fallo de Chrome para robar criptomonedas

0
67
Ciberpiratas de Corea del Norte explotan fallo de Chrome para robar criptomonedas

La semana pasada, el Instituto Nacional de Estándares y Tecnología (NIST, «por sus siglas en inglés»), la agencia de la Administración de Tecnología del Departamento de Comercio de los Estados Unidos, que revela los problemas y vulnerabilidades con productos tecnológicos de ese país, emitió un alerta sobre una vulnerabilidad que compromete al navegador Google Chrome uno de los más atacados del mundo.

De acuerdo a lo revelado por el NIST, un reciente análisis de seguridad “permitía a un atacante remoto explotar la corrupción del montón a través de una página HTML diseñada”. Agregando que la esta vulnerabilidad posee un nivel de gravedad de seguridad: “Alta”. Dicha vulnerabilidad, afecta a la versión 8 de Google Chrome anterior a la 128.0.6613.84.

Esta vulnerabilidad, fue expuesta por ciberpiratas norcoreanos que realizaron ciberataques avanzados en el que explotaron una crítica vulnerabilidad, en aquellos navegadores basados en Chromium (afectando también a otras versiones de navegadores que funcionan con el mismo código y en el mismo motor), para comprometer la seguridad del sector de las criptomonedas.

De hecho, estos ciberpiratas mediante un defecto en el motor de JavaScript y WebAssembly V8 de Chromium, identificado como CVE-2024-7971, lograron acceder a sistemas comprometidos remotamente para sustraer criptomonedas.

El aviso inicial fue dado directamente desde la empresa Microsoft, que a través de un reporte reveló la vulnerabilidad crítica desconocida en el motor Chromium del navegador Google Chrome que fue explotada a por un ataque de día cero (Zero-day), desconocida por Google.

El equipo de ciberseguridad de Microsoft, analizó la vulnerabilidad en el motor V8 de Chromium y además, rastreó las actividades maliciosas del conjunto de atacantes, conocido como Citrine Sleet, desde el pasado 19 de agosto. Citrine Sleet, es un grupo norcoreano que se ha especializado en ciberataques a la industria de las criptomonedas.

Mediante la vulnerabilidad CVE-2024-7971, se ataca al motor V8 de Chromium, impactando su seguridad al permitiendo la ejecución remota de código dentro del navegador y el equipo de la víctima.

A pesar que era una vulnerabilidad desconocida para Google, la empresa pudo incluirla en un parche de fecha 21 de agosto, en el que corregía varios errores, de acuerdo a lo informado en el Blog de actualizaciones de Google Chrome.

Del mismo modo, el portavoz de Google, Scott Westover, confirmó en una entrevista con el medio estadounidense TechCrunch, que “el error fue corregido”, sin proporcionar más detalles, aunque, el daño ya estaba hecho.

Microsoft en su reporte, señaló que el 19 de agosto de 2024, “identificó a un actor de amenazas norcoreano que explotaba una vulnerabilidad de día cero en Chromium, ahora identificada como CVE-2024-7971, para obtener ejecución remota de código (RCE)”.

Además, Microsoft dijo que “la explotación observada de CVE-2024-7971 se puede atribuir a un actor de amenazas norcoreano que apunta al sector de las criptomonedas para obtener ganancias financieras”. Y agregó: “Nuestro análisis en curso y la infraestructura observada nos llevan a atribuir esta actividad con confianza media a Citrine Sleet”.

De igual manera, Microsoft dijo que “si bien el rootkit FudModule implementado también se ha atribuido a Diamond Sleet, otro actor de amenazas norcoreano”, se “identificó anteriormente una infraestructura y herramientas compartidas entre Diamond Sleet y Citrine Sleet”, por lo que quizás ambos grupos podrían estar haciendo un uso compartido del malware FudModule.

Según Microsoft, Citrine Sleet tiene su sede en Corea del Norte y se dirige principalmente a instituciones financieras, en particular organizaciones e individuos que administran criptomonedas, para obtener ganancias económicas.

Microsoft también advierte, que en sus ataques, los de Citrine Sleet también utilizan “tácticas de ingeniería social”, haciendo que este grupo “haya llevado a cabo un reconocimiento exhaustivo de la industria de las criptomonedas y de las personas asociadas a ella”, por lo que muchas personas que trabajan en este sector estarían identificadas por estos actores maliciosos.

Asimismo, este actor de amenazas “crea sitios web falsos que se hacen pasar por plataformas legítimas de comercio de criptomonedas y los utiliza para distribuir solicitudes de empleo falsas o atraer a los objetivos para que descarguen una billetera de criptomonedas o una aplicación de comercio armada basada en aplicaciones legítimas”.

“Citrine Sleet infecta con mayor frecuencia a los objetivos con el malware troyano único que desarrolló, AppleJeus, que recopila la información necesaria para tomar el control de los activos de criptomonedas de los objetivos”.

Microsoft también aclara, que “el gobierno de los Estados Unidos ha evaluado que los actores norcoreanos, como Citrine Sleet, probablemente seguirán apuntando a las vulnerabilidades de las empresas de tecnología de criptomonedas, las empresas de juegos y las bolsas para generar y lavar fondos para apoyar al régimen norcoreano”.

Aunque, Microsoft no dio detalles acerca del número de empresas atacadas por este grupo mediante esta vulnerabilidad no conocida, si señaló que “una de las organizaciones atacadas por la explotación CVE-2024-7971 también fue atacada anteriormente por Sapphire Sleet”, otro actor malicioso norcoreano.

El régimen de la República Popular Democrática de Corea (RPDC, «por sus siglas en inglés»), nombre oficial de Corea del Norte, de acuerdo a un informe de principios de año publicado por el Consejo de Seguridad de la Organización de las Naciones Unidas (ONU), es responsable de varias decenas de ciberataques en todo el mundo en las que fueron robados unos 3.000 millones de dólares en criptoactivos.

El destino de los fondos robados en criptomonedas entre 2017 y 2023 por actores maliciosos conectados con el régimen de ese país, es financiar su programa de armas nucleares y de destrucción masiva (ADM).

Del mismo modo, la semana pasada la plataforma de recompensas por errores para contratos inteligentes y proyectos DeFi, Immunefi, informó en un reporte que la criptoindustria ha perdido en ataques de piratería y fraudes unos 1.210.741.330 dólares en lo que va de año mediante 154 incidentes específicos, lo que representa un aumento del 15.5% en comparación con el mismo período en 2023, cuando las pérdidas totalizaron 1.048.044.942 dólares.

Tan sólo en el pasado mes de agosto, se registraron unos 15.082.000 dólares en pérdidas dentro del sector de la criptoindustria según el reporte de Immunefi, lo que representa una disminución del 38% con respecto a agosto de 2023, cuando las pérdidas registradas fueron de 24.581.220 dólares, marcando una disminución del 94.5% este mes.

Según la plataforma Immunefi, los incidentes afectaron a dos proyectos específicos: Ronin Network, una cadena de bloques centrada en los juegos, con una pérdida de 12 millones de dólares, y Nexera, un protocolo DeFi, que sufrió una pérdida de 1,5 millones de dólares.

Por otro lado, durante el pasado mes, los incidentes dentro de las DeFi superaron a las CeFi, tras registrar unos cinco casos en dicho período, lo que representa el 100% del volumen total de fondos perdidos.

Es importante que aquellas personas que manejen un volumen importante de criptoactivos y que tengan una frecuenten exposición en las redes, estén conscientes que seguramente están marcados por este grupo para ser víctimas de un posible ciberataque, por lo que se deben extremar las medidas de precaución con respecto a los correos y mensajes SMS, que se reciban de terceros.

Advertencia "La inversión en criptoactivos no está regulada, puede no ser adecuada para inversores minoristas y perderse la totalidad del importe invertido"