Una nueva campaña del grupo Lazarus, vinculado a Corea del Norte, utiliza reuniones falsas de Zoom y Google Meet para robar información sensible de empleados que usan macOS. Empresas fintech de América Latina ya fueron blanco del ataque.
Una nueva campaña cibercriminal, atribuida al grupo de hackers Lazarus (Corea del Norte), genera reuniones falsas de Zoom y Google Meet para ganar acceso a empresas y robar información sensible. A través de un programa malicioso (malware), apunta a empleados que usan macOS (Apple) para llevarse sus contraseñas, historial de navegación e información que permita facilitar intrusiones. Según pudo saber Clarín, hay casos de empresas de América Latina relacionadas al mundo fintech que ya fueron blanco de este tipo de ataques.
La información sale de una investigación que hizo un hacker y especialista en inteligencia cibercriminal, Mauro Eldritch, que publicó un artículo que detalla cómo opera esta amenaza: el ataque arranca con una invitación falsa a una videollamada, sigue con un supuesto error técnico que obliga a la víctima a copiar y pegar un comando, y termina con el robo de credenciales, sesiones activas del navegador y datos de contraseñas de Apple. La presencia de Corea del Norte en el mundo cibercriminal corporativo está creciendo.
En 2023, el hacker descubrió una campaña activa de un programa malicioso que se hacía pasar por un generador de códigos QR para engañar a usuarios y tratar de extraer información. Durante el año pasado, siguió una campaña de entrevistas falsas de agentes norcoreanos que buscaban infiltrarse en una fintech mexicana. El analista bautizó al malware “Mach-O Man”, en un juego de palabras con el nombre de la estructura de los binarios en macOS (Mach-O) y la histórica canción de los Village People.
La infección empieza, según el análisis publicado en la plataforma ANY.RUN, con ingeniería social: un engaño al empleado. Según la investigación, Telegram es una de las aplicaciones predilectas para establecer el contacto con la víctima (motivo por el cual las compañías piden a los empleados que no usen aplicaciones de comunicación que no sean las oficiales, como Slack o Teams). Muchas veces usan cuentas robadas a personalidades del mundo cripto como inversores y aprovechan esas listas de contactos para buscar víctimas. Este paso es clave y es lo que explica por qué la víctima “conoce” al remitente de estos mensajes: cree que es un intercambio legítimo.
El enlace redirige a una página falsa que imita Zoom, Google Meet o, incluso, Microsoft Teams. Una vez allí, aparece un supuesto error técnico y la víctima recibe una instrucción para “arreglar” el problema: copiar y pegar un comando en la Terminal de Mac, que es una interfaz interna del sistema que permite ejecutar comandos en texto. Esa es la clave del ataque: el usuario mismo ejecuta una orden que le abre la puerta al atacante, en lugar de aprovechar una vulnerabilidad del sistema. A partir de ese momento, el malware descarga una aplicación falsa que puede hacerse pasar por Zoom, Teams o incluso por un mensaje del sistema.
Esa ventana le pide al usuario que ingrese la contraseña de su Mac varias veces. Mientras tanto, en segundo plano, el programa empieza a relevar información del equipo, instala mecanismos para seguir activo aunque la computadora se reinicie y busca credenciales guardadas en el navegador, cookies y sesiones abiertas. Según el análisis de Eldritch, toda esa información se comprime y se envía a los atacantes a través de Telegram. De allí en adelante, los usos de esa información robada pueden ser múltiples, pero siempre suelen tener fines maliciosos.
Esta operatoria, que no es nueva, se caracterizó por ser detectada apuntando a empresas de América Latina. Lazarus es el nombre con el que se conoce a uno de los grupos de hackers más famosos y persistentes del mundo, vinculado desde hace años al régimen de Corea del Norte. Los primeros rastros de su actividad aparecen entre fines de la década de 2000 y comienzos de la de 2010, cuando investigadores empezaron a relacionarlo con campañas de espionaje y sabotaje contra Corea del Sur. Con el tiempo, pasó de ser visto como un actor de ciberespionaje a convertirse en una maquinaria híbrida que combina operaciones políticas, robo de información, ataques destructivos y golpes financieros a escala global.
En rigor, si bien se habla de “hackers norcoreanos”, en terminología técnica se dice que sus acciones son “atribuidas a Corea del Norte”, además de que se habla de “grados de confianza” en la atribución. En el caso de Mach-O Man, el grado de confianza en que Lazarus está detrás es alto. “Al analizar la campaña Mach‑O Man junto con investigaciones previas de Check Point como The Whitelist Illusion, aparece un patrón claro en la forma de operar de Lazarus: el aprovechamiento de la confianza como punto de entrada”, dice en diálogo con Clarín Alejandro Botter, gerente de ingeniería de Check Point para el sur de Latinoamérica. “Ya sea a través de reuniones virtuales falsas que llevan a las personas a realizar acciones que parecen normales, o mediante el uso de relaciones previamente consideradas seguras en entornos cripto, el grupo evita ataques directos y, en cambio, se apoya en procesos legítimos para pasar desapercibido”.