El grupo Lazarus adopta tácticas ‘ClickFix’ para atacar empresas de criptomonedas
El grupo de hackers norcoreano Lazarus, conocido por sus sofisticados ataques dirigidos a la industria financiera y de criptomonedas, ha adoptado una nueva táctica denominada ‘ClickFix’ para distribuir malware. Esta técnica se enfoca en profesionales que buscan empleo en el sector de las finanzas centralizadas (CeFi), aprovechando ofertas laborales falsas como señuelo.
¿Qué es ClickFix y cómo funciona?
ClickFix es una variante de ataque de ingeniería social que combina técnicas de phishing con la distribución de malware. Los atacantes crean ofertas de trabajo falsas en plataformas como LinkedIn o Indeed, dirigidas específicamente a profesionales del sector cripto. Una vez que la víctima muestra interés, recibe un documento malicioso (generalmente un archivo PDF o Word) que solicita la instalación de un “parche” o “actualización” (de ahí el nombre ‘ClickFix’) para acceder al contenido.
- Los documentos contienen macros maliciosas o exploits de día cero.
- El malware suele ser un dropper que descarga cargas útiles adicionales como keyloggers o ransomware.
- Los servidores de comando y control (C2) están alojados en infraestructuras comprometidas para evadir detección.
Técnicas y herramientas utilizadas
Lazarus emplea un arsenal de herramientas avanzadas en estos ataques:
- Macros ofuscadas: Usan VBA (Visual Basic for Applications) con técnicas de ofuscación para evitar análisis estático.
- Exploits de vulnerabilidades conocidas: Aprovechan fallos en software como Microsoft Office o Adobe Reader.
- Malware personalizado: Variantes de backdoors como BlindingCan o Dtrack, adaptados para robo de credenciales de exchanges.
Implicaciones para la seguridad en criptofinanzas
Este tipo de ataques representa un riesgo significativo para empresas CeFi y profesionales del sector:
- Pérdida de fondos debido al robo de claves privadas o credenciales de acceso.
- Compromiso de infraestructuras críticas de exchanges o wallets.
- Exposición a regulaciones por brechas de seguridad en cumplimiento (AML/KYC).
Medidas de mitigación
Para protegerse contra estas amenazas, se recomienda:
- Implementar políticas de ejecución de macros (por ejemplo, deshabilitarlas por defecto).
- Usar soluciones EDR (Endpoint Detection and Response) con capacidades de análisis de comportamiento.
- Capacitar a los empleados en identificación de phishing dirigido (spear-phishing).
- Verificar minuciosamente ofertas laborales antes de interactuar con archivos adjuntos.
Este caso subraya la importancia de mantener protocolos de seguridad actualizados en un sector altamente expuesto como el de las criptomonedas. La evolución de grupos como Lazarus demuestra que los ataques seguirán sofisticándose, requiriendo defensas igualmente avanzadas.
