{"id":27104,"date":"2022-04-22T14:05:55","date_gmt":"2022-04-22T12:05:55","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=27104"},"modified":"2022-04-22T14:07:51","modified_gmt":"2022-04-22T12:07:51","slug":"lazarus-defi-wallet-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/lazarus-defi-wallet-backdoor\/27104\/","title":{"rendered":"La puerta trasera de Lazarus en los monederos DeFi"},"content":{"rendered":"<p>A mediados de diciembre del a\u00f1o pasado, se subi\u00f3 un archivo sospechoso a VirusTotal, el servicio online que analiza los archivos en busca de <em>malware<\/em>. A simple vista, parec\u00eda un instalador de monedero de criptomonedas, pero nuestros expertos lo analizaron y descubrieron que, adem\u00e1s del monedero, tambi\u00e9n enviaba <em>malware<\/em> al dispositivo del usuario. Adem\u00e1s, parece que el programa no es obra de unos delincuentes de poca monta, sino de los ciberdelincuentes del grupo Lazarus.<\/p>\n<h2>\u00bfQu\u00e9 es Lazarus?<\/h2>\n<p>Lazarus es un grupo de <a href=\"https:\/\/www.kaspersky.es\/blog\/que-es-una-apt\/966\/\" target=\"_blank\" rel=\"noopener\">APT (son las siglas en ingl\u00e9s de Amenaza Persistente Avanzada)<\/a>\u00a0Este tipo de grupos son organizaciones de ciberdelincuentes que suelen estar bien financiadas, desarrollan <em>malware<\/em> complejo y se especializan en ataques dirigidos, por ejemplo, para el espionaje industrial o pol\u00edtico. El robo de dinero, si es que les interesa, no suele ser su objetivo principal.<\/p>\n<p>Sin embargo, <a href=\"https:\/\/www.kaspersky.es\/blog\/operation-blockbuster\/7797\/\" target=\"_blank\" rel=\"noopener\">Lazarus<\/a> es un grupo de APT que persigue activamente el dinero de los dem\u00e1s. Por ejemplo, en el 2016, el grupo se hizo con una buena suma del Banco Central de Bangladesh, en el 2018 <a href=\"https:\/\/www.kaspersky.es\/blog\/lazarus-crypto-exchange-attack\/16799\/\" target=\"_blank\" rel=\"noopener\">infect\u00f3 un <em>exchange<\/em> de criptomonedas<\/a> con <em>malware<\/em> y en el 2020 prob\u00f3 suerte con el <em>ransomware<\/em>.<\/p>\n<h2>Un monedero DeFi con puerta trasera<\/h2>\n<p>El archivo que llam\u00f3 la atenci\u00f3n colectiva de nuestros investigadores conten\u00eda un instalador para un monedero de criptomonedas descentralizado leg\u00edtimo, pero estaba infectado. DeFi (la abreviatura en ingl\u00e9s de finanzas descentralizadas) es un modelo financiero en el que no hay intermediarios como los bancos y todas las transacciones se realizan directamente entre los usuarios. Esta tecnolog\u00eda ha ido adquiriendo popularidad en los \u00faltimos a\u00f1os, de hecho, seg\u00fan <em>Forbes<\/em>, de mayo del 2020 a mayo del 2021, el valor de los activos ubicados en los sistemas DeFi aument\u00f3 88 veces. Por ello, no sorprende que las DeFi est\u00e9n atrayendo el inter\u00e9s de los ciberdelincuentes.<\/p>\n<p>No queda del todo claro c\u00f3mo persuaden exactamente los ciberdelincuentes a las v\u00edctimas para que descarguen y ejecuten el archivo infectado. Sin embargo, nuestros expertos suponen que los atacantes env\u00edan a los usuarios correos electr\u00f3nicos dirigidos o mensajes en las redes sociales. A diferencia de los env\u00edos masivos, estos mensajes se adaptan a un destinatario espec\u00edfico y pueden parecer muy plausibles.<\/p>\n<p>En cualquier caso, cuando el usuario ejecuta el instalador, crea dos ejecutables: un programa malicioso y un instalador limpio de un monedero de criptomonedas. El <em>malware<\/em> se hace pasar por el navegador Google Chrome e intenta ocultar la existencia del instalador infectado copiando un instalador limpio en su lugar, que ejecuta inmediatamente para que el usuario no sospeche nada. Una vez que el monedero se instala correctamente, el <em>malware<\/em> contin\u00faa ejecut\u00e1ndose en segundo plano.<\/p>\n<h2>\u00bfEs peligroso?<\/h2>\n<p>El <em>malware<\/em> que se adentra en el ordenador con la billetera DeFi es una puerta trasera. Dependiendo de la intenci\u00f3n del operador, esta puerta trasera puede recopilar informaci\u00f3n o proporcionar control remoto sobre el dispositivo. En concreto, puede:<\/p>\n<p>\u2022 Iniciar y terminar procesos.<\/p>\n<p>\u2022 Ejecutar comandos en el dispositivo.<\/p>\n<p>\u2022 Descargar archivos en el dispositivo, eliminarlos o enviarlos desde el dispositivo al servidor de mando y control.<\/p>\n<p>En otras palabras, en caso de un ataque exitoso, el <em>malware<\/em> puede desactivar el antivirus y robar lo que quiera, desde documentos valiosos hasta cuentas y dinero. Tambi\u00e9n puede descargar otros programas maliciosos en el ordenador si lo consideran conveniente los ciberdelincuentes. Como siempre, para m\u00e1s informaci\u00f3n t\u00e9cnica sobre el troyano, visita nuestro art\u00edculo en el blog <a href=\"https:\/\/securelist.com\/lazarus-trojanized-defi-app\/106195\/\" target=\"_blank\" rel=\"noopener\">Securelist<\/a>.<\/p>\n<h2>C\u00f3mo no caer en la trampa<\/h2>\n<p>Si est\u00e1s en el mundo de las finanzas y, sobre todo, en el de las criptomonedas, ten cuidado con los mensajes que intenten persuadirte para que instales programas de fuentes no confiables. Adem\u00e1s, <a href=\"https:\/\/www.kaspersky.es\/internet-security?icid=es_kdailyplacehold_acq_ona_smm__onl_b2c_kasperskydaily_wpplaceholder____kismd___\" target=\"_blank\" rel=\"noopener\">aseg\u00farate de que tus dispositivos sean seguros<\/a>, especialmente los que usas para las transacciones de criptomonedas. Una soluci\u00f3n de seguridad de confianza te ayudar\u00e1 en aquellos casos en los que no baste con prestar atenci\u00f3n.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"kis-online-banking\">\n","protected":false},"excerpt":{"rendered":"<p>El grupo Lazarus contin\u00faa aprovech\u00e1ndose de las criptomonedas: los ciberdelincuentes distribuyen monederos DeFi con una puerta trasera incorporada.<\/p>\n","protected":false},"author":2477,"featured_media":27105,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1348],"tags":[368,2368,3418,2571,1633,586],"class_list":{"0":"post-27104","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-apt","9":"tag-criptomonedas","10":"tag-defi","11":"tag-lazarus","12":"tag-puertas-traseras","13":"tag-troyanos"},"hreflang":[{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lazarus-defi-wallet-backdoor\/27104\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lazarus-defi-wallet-backdoor\/24065\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/19551\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/9884\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/26392\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lazarus-defi-wallet-backdoor\/24339\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/24698\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lazarus-defi-wallet-backdoor\/33072\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lazarus-defi-wallet-backdoor\/10645\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lazarus-defi-wallet-backdoor\/44138\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lazarus-defi-wallet-backdoor\/18806\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-defi-wallet-backdoor\/19336\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lazarus-defi-wallet-backdoor\/15938\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lazarus-defi-wallet-backdoor\/28504\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lazarus-defi-wallet-backdoor\/24960\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lazarus-defi-wallet-backdoor\/30416\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lazarus-defi-wallet-backdoor\/30184\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.es\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27104","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/users\/2477"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/comments?post=27104"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27104\/revisions"}],"predecessor-version":[{"id":27107,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/posts\/27104\/revisions\/27107"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media\/27105"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/media?parent=27104"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/categories?post=27104"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.es\/blog\/wp-json\/wp\/v2\/tags?post=27104"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}