Revelan detalles del ataque cibernético que comprometió criptomonedas mediante una vulnerabilidad en Chrome.
Estados Unidos.-Un reciente análisis de seguridad cibernética ha expuesto que piratas informáticos de Corea del Norte realizaron un ataque cibernético en el que explotaron una crítica vulnerabilidad en los navegadores basados en Chromium, ejecutando un avanzado ataque dirigido al sector de las criptomonedas.
Utilizando un defecto en el motor de JavaScript y WebAssembly V8, identificado como CVE-2024-7971, estos piratas lograron acceder a sistemas comprometidos remotamente y sustraer criptomonedas.
Microsoft fue quien reveló este descubrimiento, y sus expertos en ciberseguridad localizaron inicialmente las actividades maliciosas de este grupo el 19 de agosto. El conjunto de atacantes, conocido como Citrine Sleet, se ha focalizado en la industria de las criptomonedas.
La vulnerabilidad CVE-2024-7971 impacta el motor V8 de Chromium, permitiendo la ejecución de código a distancia. Al tratarse de una vulnerabilidad de día cero, Google no estaba al tanto de ella y solo pudo emitir un parche después de su explotación, el 21 de agosto. “Scott Westover, portavoz de Google, confirmó a TechCrunch que el error fue corregido”, aunque no proporcionó más detalles.
Por su lado, Microsoft alertó a las entidades afectadas, sin revelar cuántas o cuáles fueron. Citrine Sleet, operando desde Corea del Norte, apunta principalmente a instituciones financieras y participantes del mercado cripto para obtener ganancias económicas. Este grupo emplea sofisticadas técnicas de ingeniería social, incluyendo la creación de sitios web fraudulentos que imitan plataformas legítimas de comercio de criptomonedas.
Estos sitios se utilizan para distribuir ofertas de empleo falsas o persuadir a las víctimas para que descarguen aplicaciones comerciales o billeteras de criptomonedas comprometidas.
El troyano principal de Citrine Sleet, AppleJeus, es clave en la recopilación de datos para controlar los activos criptográficos de las víctimas.
El ataque se inicia engañando a una víctima para que visite un dominio bajo control de los atacantes, momento en el cual se aprovecha otra vulnerabilidad en el núcleo de Windows para instalar un rootkit, proporcionando acceso profundo al sistema operativo.
Este método no es nuevo para el régimen norcoreano, que, según un informe del Consejo de Seguridad de la ONU, ha robado aproximadamente 3 mil millones de dólares en criptomonedas entre 2017 y 2023 para financiar su programa nuclear.
Finalmente, Microsoft ha identificado que el rootkit FudModule, utilizado en este ataque, también ha sido empleado por otros actores norcoreanos como Diamond Sleet. Este rootkit avanzado permite manipular el núcleo del sistema para evitar ser detectado.
Las técnicas de Citrine Sleet son consistentes con las observadas en ataques anteriores atribuidos a grupos similares, y la herramienta compartida sugiere una colaboración en la explotación de vulnerabilidades.