Google alerta de un malware norcoreano diseñado para robar criptomonedas

Los ataques informáticos están a la orden del día, y más vale que estés informado, porque los cibercriminales siempre están buscando nuevas formas de estafarnos. Y ahora es Google el que ha dado la voz de alarma ante un nuevo ataque malware muy difícil de detectar.

Tal y como ha informadoinformado, Google Threat Intelligence Group (GTIG), la división de ciberseguridad de la gran G, ha detectado cómo el grupo malicioso UNC5342 de Corea del Norte está aprovechando una técnica novedosa, denominada “EtherHiding”, para distribuir malware y, en última instancia, robar criptomonedas y datos confidenciales.

Un proceso de selección que en realidad es una trampa

La clave está en la ingeniería social. Estos ciberdelincuentes utilizan diferentes engaños, como hacerse pasar por reclutadores en LinkedIn y otras plataformas para ofrecer una oferta de trabajo irresistible.

El objetivo es colarse en ordenadores de desarrolladores de software y robar criptomonedas, contraseñas y datos confidenciales. Y lo peor es que puede ocurrir sin que la víctima sospeche nada.

El problema es que en los últimos meses, grupos de ciberespionaje ligados al régimen norcoreano han perfeccionado una técnica de ataque que mezcla engaño, redes sociales, entrevistas falsas y, sorprendentemente, tecnología blockchain.

En lugar de usar servidores tradicionales, los atacantes apuestan por una técnica llamada EtherHiding, que utiliza blockchains públicas como Ethereum o BNB Smart Chain para almacenar parte del código malicioso.

¿Por qué? Porque estos sistemas son descentralizados e imposibles de cerrar. Los datos alojados ahí no pueden borrarse ni bloquearse fácilmente. Además, como el malware se recupera usando funciones de solo lectura, no deja huella visible en la cadena. En otras palabras: es casi invisible.

Para infectar al usuario, utilizan diferentes técnicas, como webs de ventas de criptomonedas o, como hemos dicho, se hacen pasar por reclutadores de empresas tecnológicas. Tras una breve conversación, invitan al candidato a pasar una entrevista técnica.

El gancho final suele ser una prueba de código que hay que completar o revisar. La típica prueba técnica que hacen todas las empresas del sector. Para ello, el candidato debe descargarse un archivo. Ese archivo es, en realidad, un malware.

Sin saberlo, al ejecutar ese fichero el usuario compromete su ordenador. Y a partir de ahí, los atacantes pueden espiar, robar claves de acceso a wallets de criptomonedas, o incluso entrar en redes corporativas si la víctima trabaja para una empresa del sector tecnológico o financiero.

Qué debes saber de este malware coreano

Aunque los principales objetivos son desarrolladores, sobre todo en el mundo cripto y Web3, cualquiera que trabaje en tecnología podría ser una víctima potencial. Incluso empresas enteras pueden quedar expuestas si un empleado cae en la trampa y los atacantes logran entrar en su red.

Y ten en cuenta que, en este caso, la mejor defensa es la prevención. Si te contactan con una oferta de trabajo:

• Desconfía de empresas desconocidas o con poca presencia online.
• No descargues archivos sin estar completamente seguro de su procedencia.
• Si la prueba técnica requiere ejecutar un archivo, pide revisarlo en GitHub.
• Nunca instales “actualizaciones” o “parches” que te envíen en el contexto de una entrevista.