Uniswap se convierte en una herramienta para atacar a los traders
Cómo los hackers de Corea del Norte roban datos bajo la apariencia de automatización.
El equipo de 360 Advanced Threat Research Institute descubrió una nueva campaña del grupo Lazarus, en la que se distribuye un malware disfrazado como el instalador de una popular herramienta de comercio automático de criptomonedas: Uniswap Sniper Bot. El programa parece ser una aplicación legítima, pero durante la instalación activa funciones maliciosas ocultas que roban datos de los usuarios.
El grupo Lazarus (APT-C-26) continúa atacando a empresas y usuarios en todo el mundo. Sus principales objetivos son instituciones financieras, intercambios de criptomonedas, organismos gubernamentales, así como los sectores aeroespacial y de defensa. Los hackers buscan robar dinero e información confidencial. Lazarus utiliza métodos avanzados como phishing, ransomware y virus encubiertos que funcionan en Windows, macOS y Linux.
En esta campaña, los atacantes modificaron el código de Uniswap Sniper Bot y lo empaquetaron utilizando Electron, lo que permitió que el malware se ejecutara en varias plataformas. Cuando el usuario instala la aplicación, el programa muestra un proceso de instalación normal, pero en segundo plano ejecuta código malicioso. Este código descarga módulos adicionales que roban datos de navegadores y billeteras de criptomonedas.
Uno de los archivos maliciosos identificados fue uniswap-sniper-bot-with-guiSetup1.0.0.exe. Su tamaño es de 70,68 MB, y su compleja ofuscación permite evadir las verificaciones antivirus. El código malicioso principal, integrado en el instalador, se activa durante la instalación y la carga maliciosa se despliega gradualmente a través de varios niveles de descarga.
El malware roba datos de los navegadores Chrome, Brave y Opera y los envía a los servidores de los atacantes. Además, se descargan scripts adicionales que ejecutan comandos de los hackers.
En el ataque se emplearon tres módulos maliciosos principales:
· n2pay: para monitorizar el sistema, robar archivos y ejecutar comandos;
· n2bow: para robar datos de los navegadores;
· n2mlip: para registrar pulsaciones de teclas (keylogging), monitorizar el portapapeles y rastrear la actividad de ventanas.
Todos los módulos fueron descargados desde los servidores de Lazarus, lo que facilitó el robo de datos y el control de los sistemas de las víctimas.
El grupo Lazarus utiliza frecuentemente métodos similares, como el envenenamiento de bibliotecas Python y Node.js, así como la infección de archivos de instalación de programas populares. En este ataque, los hackers utilizaron los puertos 1224 y 1244 en sus servidores, lo que es característico de Lazarus. Todo esto confirma que esta campaña fue obra de este grupo.
En septiembre, Palo Alto Networks describió las actividades de los grupos de hackers vinculados a la inteligencia de Corea del Norte. Estos grupos, que en informes públicos a menudo se agrupan bajo el nombre Lazarus, trabajan en interés del gobierno de Corea del Norte, llevando a cabo ciberespionaje, crímenes financieros y ataques destructivos contra diversas industrias en todo el mundo.