Ataque masivo a empresas de criptomonedas

Kaspersky informó sobre un ataque masivo a la cadena de suministro que se dirigió a un reducido grupo de empresas de criptomonedas.

Así, un ataque masivo a la cadena de suministro instaló una puerta trasera en ordenadores de todo el mundo.

Pero sólo se desplegó en menos de diez equipos, según informó la empresa de ciberseguridad.

Los despliegues mostraron así un interés particular en las empresas de criptomoneda.

Por su parte, la empresa de ciberseguridad Crowdstrike informó que identificó actividad maliciosa.

En la aplicación de softphone 3CX 3CXDesktopApp.

La aplicación se dirige a clientes corporativos.

La actividad maliciosa que se detectó incluía «balizamiento a la infraestructura controlada por el actor”.

Además de “despliegue de cargas útiles de segunda etapa y, en un pequeño número de casos, actividad manual en el teclado».

Kaspersky también dijo que sospechaba de la participación del actor de amenazas Labyrinth Chollima.

Este actor guarda vinculación con Corea del Norte.

Por su parte, Kaspersky ya estaba investigando una biblioteca de vínculos dinámicos (DLL).

Que se encontró en uno de los archivos .exe de 3CXDesktopApp infectados.

La DLL en cuestión se utilizó para distribuir el backdoor Gopuram, aunque no era la única carga maliciosa que se desplegó en el ataque.

Se descubrió también que Gopuram coexiste con el backdoor AppleJeus atribuido al grupo norcoreano Lazarus, añadió Kaspersky.

El software 3CX infectado se detectó en todo el mundo, con las mayores cifras de infección en Brasil, Alemania, Italia y Francia.

Sin embargo, Gopuram se desplegó en menos de diez ordenadores, en un alarde de «precisión quirúrgica», dijo Kaspersky.

En el pasado ya se encontró una infección de Gopuram en una empresa de criptomonedas del sudeste asiático.

La app 3CX se utiliza en más de 600.000 empresas, entre ellas varias grandes marcas, dijo Kapersky citando al fabricante.

La aplicación infectada tenía la certificación DigiCert.

Fuente: Cointelegraph