El grupo de hackers Lazarus, vinculado a Corea del Norte, ha comenzado a usar tácticas denominadas ClickFix para desplegar malware dirigido a buscadores de empleo en la industria de las criptomonedas, especialmente en finanzas centralizadas (CeFi).
¿Qué es ClickFix?
ClickFix es una táctica emergente donde los atacantes presentan errores falsos en sitios web o documentos, indicando un problema al intentar ver el contenido.
Los usuarios son instados a “arreglar” el problema ejecutando comandos de PowerShell, lo que descarga y ejecuta malware en el sistema.
Ataques Dirigidos a Empresas de Cripto
Lazarus ha adoptado este enfoque para atacar a personas en roles no técnicos dentro de empresas CeFi, como desarrolladores de negocios o gerentes de marketing.
Se hacen pasar por empresas de renombre en la industria como Coinbase, KuCoin, Kraken, entre otras.
El malware desplegado es un backdoor basado en Go llamado GolangGhost permite a los atacantes ejecutar comandos y robar información sensible, como cookies de Chrome, contraseñas almacenadas y mucho más.
Procesos del Ataque
- Invitación a Entrevista Falsa: Los atacantes invitan a las víctimas a una entrevista remota a través de un enlace a un sitio web legítimo.
- Error Falso en la Cámara: Cuando el objetivo intenta grabar un video, aparece un falso error sobre un problema con el controlador de la cámara.
- Instrucciones Maliciosas: Se dan instrucciones para “arreglar” el error ejecutando comandos en la terminal, lo que instala el malware.
Recomendaciones de Seguridad
- Verifica las Invitaciones: Nunca descargues ni ejecutes archivos o comandos de fuentes no verificadas, especialmente desde entrevistas en línea o enlaces no solicitados.
- Evita Ejecutar Comandos de Terminal: No ejecutes comandos que no entiendas completamente, ya que podrían comprometer tu sistema.
Los atacantes de Lazarus continúan diversificando sus métodos de ataque, por lo que es crucial estar informado y protegerse frente a estas tácticas avanzadas.