El proveedor de antivirus Kaspersky dice que atrapó a piratas informáticos norcoreanos que intentaban propagar malware a través de un software legítimo de «alto perfil» destinado a cifrar las comunicaciones web.
Kaspersky no nombró el programa de software, pero dice que el proveedor detrás del producto «ya había sido víctima» del grupo de piratería norcoreano «varias veces».
«Esta violación recurrente sugirió un actor de amenazas persistente y decidido con el objetivo probable de robar código fuente valioso o alterar la cadena de suministro de software, y continuaron explotando vulnerabilidades en el software de la compañía mientras apuntaban a otros fabricantes de software», dijo Kaspersky en un comunicado el viernes. informe.
El proveedor de antivirus descubrió la amenaza en julio cuando notó una serie de ataques a varias víctimas, que habían sido dirigidas «a través de software de seguridad legítimo diseñado para cifrar las comunicaciones web utilizando certificados digitales», dijo.
(Crédito: Kaspersky)
Luego, Kaspersky identificó «actividad posterior a la explotación dentro de los procesos del software legítimo» que mostraba la presencia de un programa de malware, que ha sido denominado «SIGNBT». El código malicioso incluye varias funciones de puerta trasera para manipular de forma remota una PC con Windows e instalar malware adicional capaz de robar contraseñas.
Kaspersky agrega que el proveedor de software original que se vio comprometido implementó parches para corregir la vulnerabilidad que estaban explotando los piratas informáticos norcoreanos. Pero «las organizaciones de todo el mundo todavía utilizaban la versión defectuosa del software, lo que proporcionaba un punto de entrada».
Recomendado por nuestros editores
El proveedor de antivirus ha vinculado el malware con el notorio grupo de hackers norcoreano Lazarus al identificar tácticas similares utilizadas entre los dos. Esto incluye cómo se descubrió que SIGNBT instalaba otra carga útil maliciosa, llamada LPEClient, que Kaspersky también descubrió que estaba dirigida a la industria de defensa y criptomonedas.
(Crédito: Kaspersky)
El informe llega meses después de que el proveedor de software 3CX fuera explotado para hacer circular malware norcoreano a través de la aplicación de escritorio de la empresa. Esto permitió a los piratas informáticos realizar un ataque a la cadena de suministro contra clientes desprevenidos, que confiaban en 3CX para realizar llamadas VoIP. En respuesta, 3CX desarrolló una nueva aplicación de escritorio para proteger a los usuarios de la amenaza. Pero aún no está claro si todos los usuarios lo descargaron o actualizaron.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.