Los investigadores de ESET analizan la actividad reciente del notorio grupo APT: el grupo Lazarus manipula el software de seguridad.
Los investigadores de ESET descubrieron una campaña de Lazarus Group dirigida específicamente a los usuarios de Internet de Corea del Sur. Los atacantes utilizan un programa malicioso que infecta la cadena de suministro de software con una manipulación inusual. Para hacer esto, los piratas informáticos hacen un mal uso del software de seguridad legítimo de Corea del Sur llamado WIZVERA VeraPort y los certificados digitales. En Corea del Sur, es una práctica común que, al visitar sitios web gubernamentales o de banca por Internet, a los usuarios se les pida que instalen software de seguridad adicional. Los investigadores de ESET ahora han publicado su análisis detallado en WeliveSecurity.
“WIZVERA VeraPort es una aplicación especial de Corea del Sur para instalar y administrar software de seguridad adicional. Se requiere una interacción mínima del usuario para iniciar una instalación de software de este tipo”, explica Anton Cherepanov, el investigador de ESET que dirigió la investigación del ataque. “Normalmente, este software es utilizado por sitios web gubernamentales y bancarios. Para algunos de estos sitios es obligatorio instalar WIZVERA Veraport.”
Certificado de firma de código ilegal
Para propagar el malware utilizado, los atacantes utilizan certificados de firma de código obtenidos ilegalmente. Estos se emitieron originalmente para una sucursal estadounidense de una empresa de seguridad de Corea del Sur. “Los atacantes disfrazan el malware como software legítimo. Los programas maliciosos tienen nombres de archivo, íconos y recursos similares a los del software legítimo de Corea del Sur", dice el investigador de ESET Peter Kálnai. "Es la combinación de sitios web comprometidos con compatibilidad con WIZVERA VeraPort y configuraciones específicas de VeraPort lo que permite a los atacantes llevar a cabo este ataque".
¿Lazarus Group está detrás de la campaña?
Los expertos de ESET han encontrado evidencia de que el ataque puede atribuirse al Grupo Lazarus. La campaña actual es una continuación de lo que el CERT de Corea del Sur (KrCERT) ha denominado Operation BookCodes. Esta campaña también se atribuyó al grupo APT.
Otras pistas incluyen las características típicas de las herramientas utilizadas, los métodos de encriptación, la configuración de la infraestructura de la red y el hecho de que el ataque tuvo lugar en Corea del Sur, donde se sabe que opera Lazarus.
Más información en WeLiveSecurity de ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.