Lazarus Group, un grupo de hackers vinculado a Corea del Norte, ha evolucionado sus tácticas para dirigirse a quienes buscan empleo en el sector de las criptomonedas, particularmente dentro de las finanzas centralizadas (CeFi), utilizando un método llamado 'ClickFix'. Este nuevo enfoque es una adaptación de su anterior campaña 'Contagious Interview', ahora centrada en roles no técnicos como marketing y desarrollo de negocios, haciéndose pasar por importantes empresas de criptomonedas. El grupo crea portales de solicitud de empleo falsos para atraer a candidatos, incitándolos a ejecutar comandos de PowerShell bajo el pretexto de solucionar problemas, lo que descarga malware. Esta táctica explota las aspiraciones profesionales de las personas en el mercado laboral de criptomonedas. Además, el FBI ha atribuido un ataque de 1,5 mil millones de dólares a Bybit a Lazarus, donde se utilizaron ofertas de trabajo falsas para instalar malware en las computadoras del personal.

SEKOIA

Un reciente informe de ciberseguridad de Sekoia reveló una amenaza en evolución planteada por el Grupo Lazarus, el infame grupo de hacking vinculado a Corea del Norte. Ahora está aprovechando una táctica conocida como “ClickFix” para dirigirse a quienes buscan empleo en el sector de las criptomonedas, particularmente dentro de las finanzas centralizadas (CeFi).Este enfoque marca una adaptación de la campaña anterior del grupo denominada “Entrevista Contagiosa”, que anteriormente se dirigía a desarrolladores e ingenieros en inteligencia artificial y roles relacionados con criptomonedas.<h2>Lazarus Explota la Contratación en Cripto</h2>En la campaña recién observada, Lazarus ha cambiado su enfoque hacia profesionales no técnicos, como personal de marketing y desarrollo de negocios, haciéndose pasar por grandes empresas de criptomonedas como Coinbase, KuCoin, Kraken e incluso el emisor de stablecoins Tether.Los atacantes construyen sitios web fraudulentos que imitan portales de solicitud de empleo y atraen a los candidatos con invitaciones a entrevistas falsas. Estos sitios a menudo incluyen formularios de solicitud realistas e incluso solicitudes de presentaciones en video, fomentando una sensación de legitimidad.Sin embargo, cuando un usuario intenta grabar un video, se le muestra un mensaje de error fabricado, que típicamente sugiere un mal funcionamiento de la cámara web o del controlador. La página luego le pide al usuario que ejecute comandos de PowerShell bajo la apariencia de solución de problemas, desencadenando así la descarga de malware.Este método ClickFix, aunque relativamente nuevo, está volviéndose más prevalente debido a su simplicidad psicológica, ya que los usuarios creen que están resolviendo un problema técnico y no ejecutando código malicioso. Según Sekoia, la campaña se basa en materiales de 184 invitaciones a entrevistas falsas, haciendo referencia a al menos 14 empresas prominentes para reforzar su credibilidad.Como tal, la última táctica demuestra la creciente sofisticación de Lazarus en ingeniería social y su capacidad para explotar las aspiraciones profesionales de las personas en el competitivo mercado laboral de cripto. Curiosamente, este cambio también sugiere que el grupo está ampliando sus criterios de selección al dirigirse no solo a quienes tienen acceso a código o infraestructura, sino también a aquellos que podrían manejar datos internos sensibles o estar en una posición para facilitar brechas inadvertidamente.A pesar del surgimiento de ClickFix, Sekoia informó que la campaña original de Entrevista Contagiosa sigue activa. Este despliegue paralelo de estrategias sugiere que el colectivo patrocinado por el estado de Corea del Norte puede estar probando su efectividad relativa o adaptando tácticas a diferentes demografías objetivo. En ambos casos, las campañas comparten un objetivo consistente: entregar malware que roba información a través de canales confiables y manipular a las víctimas para que se auto-infecten.<h2>Lazarus Detrás del Hack de Bybit</h2>El FBI atribuyó oficialmente el ataque de 1.500 millones de dólares a Bybit al Grupo Lazarus. Los hackers que atacaron el intercambio de criptomonedas emplearon ofertas de trabajo falsas para engañar al personal y hacer que instalaran un software de trading contaminado conocido como “TraderTraitor”.Aunque diseñado para parecer auténtico a través del desarrollo de JavaScript y Node.js multiplataforma, las aplicaciones incorporaban malware diseñado para robar claves privadas y ejecutar transacciones ilícitas en la blockchain.

El Grupo Lazarus Apunta a Buscadores de Empleo en CeFi con Malware 'ClickFix'