No, los cibercriminales no tienen vacaciones por mucho calor que haga y siguen buscando formas de hacer el mal. En esta ocasión vamos a hablar de otro ataque a un Exchange de criptomonedas pero completamente distinto a los que hemos visto hasta ahora… esta vez, los cibermalotes se han tomado su tiempo para preparar el ataque y toda la infraestructura asociada para que nadie sospechara de sus actividades y han llegado a desarrollar un troyano para MacOS, vamos a verlo.
Ya hemos comentado algunas veces cómo estos ataques a los Exchanges de criptomonedas van ganando en sofisticación para ser cada vez más difíciles de detectar. No obstante este caso es completamente distinto y más llamativo ya que no se ha atacado ninguna vulnerabilidad del Exchange o engañado a usuarios como en el caso de MyEtherWallet, en este caso ¡se ha engañado a los propios técnicos del Exchange! ¿A que mola? Se supone que es personal cualificado con cierta formación en Seguridad…
Además, los cibercriminales que han realizado este ataque pertenecen a Lazarus, un grupo de malos-malísimos que ya ha salido algunas veces en las noticias por ser los responsables del hackeo a Sony Pictures (¿os acordáis del hackeo de Sony que afectó a la Play Station Network?) ademas de vulnerar la seguridad de algunos bancos,… por ejemplo, se llevaron 81 millones de dólares del Central Bank of the People’s Republic en Bangladesh.
En esta ocasión, los chicos de Lazarus han atacado el eslabón más débil de la cadena, que SIEMPRE somos los humanos. Para ello, crearon un malware que introdujeron en una aplicación de trading, es decir, las que se utilizan para comprar y vender criptomonedas en diferentes Exchanges. Una vez creado el software SIN el malware incluido, enviaron un email al Exchange en cuestión (seguramente lo enviarían a varios de ellos) con un link para bajarse el programa de forma gratuita. Alguno de los empleados de este Exchange recibió el link y, a simple vista, la aplicación parecía muy atractiva, además de hacerte ganar tiempo al poder gestionar varios Exchanges de forma simultánea (no se suele operar sólo con uno como ya hemos comentado otras veces).
El caso es que el programa, que se llamaba Celas Trade Pro by Celas Limited, tenía muy buena pinta como ya hemos dicho, se encontraba en un sitio lícito propiedad de Celas Limited y tenía su candidato verde emitido por una entidad de confianza como que la conexión con el sitio era segura… todo bien, ¿verdad? Pues eso mismo pensó el técnico, pero para asegurarse aun así, pasó la aplicación ya descargada por su antivirus: todo limpio y sin malware, por lo que finalmente decidió instalarla animado por el email que le habían mandado donde se avisaba que era una versión gratuita pero en que en breve sería de pago.
Sí, hasta aquí nos la habrían colado a cualquiera.
El caso es que nada más instalarse la aplicación, el programa se conectó a Internet para bajarse una versión más reciente… y ahí es donde estaba el malware preparado para su instalación. En lugar de instalar una actualización, el programa descargó una nueva versión que incluía un troyano (¿recordáis lo que es un troyano? Ya hemos hablado de ellos otras veces) que permitía a los malotes acceder al ordenador de nuestro amigo y de ahí a la red entera del Exchange…
Lecciones aprendidas
Son listos los jodíos, ¿eh? Pero sobre todo tenemos que volver a darnos cuenta de que la mayoría de las veces las intrusiones vienen por un error humano. Somos demasiado confiados. Cuando se propagaron los primeros ransomware venían camuflados en facturas de Iberdrola que habríamos sin pensar, después en un email de Correos diciendo que teníamos un paquete para recoger (¿a alguien le ha enviado Correos alguna vez un email?), anteriormente a eso los ataques de Phishing nos decían que había se había detectado algo raro en nuestra cuenta del banco y que teníamos que introducir las credenciales para poder solucionarlo y evitar el bloqueo de la misma… ¡o incluso el número y el PIN de la tarjeta de crédito! Y antes de eso nos llegaba un correo diciendo ‘Te mando las fotos de Claudia Schiffer’ (sí, yo soy de la época de Claudia Schiffer, aunque nunca me ha llamado especialmente la atención) y cuando le dábamos click… exacto, no era Claudia Schiffer. Siguen intentando engañarnos porque saben que picamos, así que andaros con mucho ojo antes de hacer clicks en enlaces o en adjuntos no solicitados que nos lleguen por correo electrónico, por WhatsApp o por cualquier otro método, vale la pena parar 30 segundos a pensar si eso que estamos leyendo es en realidad lo que dice ser.