Los piratas informáticos detrás de los recientes ataques a la cadena de suministro a gran escala contra el proveedor de VoIP 3CX ahora están apuntando específicamente a las empresas de criptomonedas en un intento de vaciar sus billeteras, advirtieron los investigadores.
Mediante la distribución de una versión troyana de la solución VoIP, los atacantes lograron infiltrarse en docenas de empresas y colocar varios programas maliciosos de etapa dos en sus terminales.
Ahora, los investigadores de seguridad cibernética de Kaspersky han descubierto que los atacantes también apuntaron, con alta precisión, a no más de una docena de empresas, con una puerta trasera única llamada Gopuram.
Puerta trasera modular
BleepingEquipo describe a Gopuram como una puerta trasera modular capaz de controlar el tiempo para evadir la detección, inyectar carga útil en procesos que ya se están ejecutando, cargar controladores de Windows sin firmar utilizando la Utilidad de controlador de kernel de código abierto y más.
De hecho, fue el uso de Gopuram lo que hizo que Kaspersky identificara al actor de amenazas detrás de toda la operación como el Grupo Lazarus de Corea del Norte.
«El descubrimiento de las nuevas infecciones de Gopuram nos permitió atribuir la campaña 3CX al actor de amenazas Lazarus con una confianza media a alta. Creemos que Gopuram es el implante principal y la carga útil final en la cadena de ataque», dijeron los investigadores de Kaspersky.
Lazarus apuntó a menos de diez máquinas con esta puerta trasera, todas las cuales son empresas criptográficas, se dijo. Lo más probable es que la motivación sea financiera, sugieren los investigadores.
«En cuanto a las víctimas en nuestra telemetría, las instalaciones del software 3CX infectado están ubicadas en todo el mundo, con las cifras de infección más altas observadas en Brasil, Alemania, Italia y Francia», se lee en el informe. «Como la puerta trasera de Gopuram se implementó en menos de diez máquinas infectadas, indica que los atacantes usaron Gopuram con precisión quirúrgica. Además, observamos que los atacantes tienen un interés específico en las empresas de criptomonedas».
3CX tiene más de 12 millones de usuarios diarios, con productos utilizados por más de 600.000 empresas en todo el mundo. Su lista de clientes incluye empresas y organizaciones de alto perfil como American Express, Coca-Cola, McDonald’s, Air France, IKEA, el Servicio Nacional de Salud del Reino Unido y varios fabricantes de automóviles, incluidos BMW, Honda, Toyota y Mercedes-Benz.
Vía: BleepingComputer (se abre en una pestaña nueva)