🛡 MALWARE 🛡

Lazarus despliega RemotePE, un RAT solo en memoria, contra empresas financieras y de criptomonedas.

🛡CyberObservatorio
Lazarus despliega RemotePE, un RAT solo en memoria, contra empresas financieras y de criptomonedas.
Idioma

Lazarus despliega RemotePE, un RAT solo en memoria, contra empresas financieras y de criptomonedas.

Fuente: The Hacker News

Los recientes hallazgos de investigadores en ciberseguridad han puesto de manifiesto la existencia de un malware multiplataforma denominado RemotePE, que ha sido utilizado por el grupo de hackers conocido como Lazarus, vinculado a Corea del Norte. Este malware ha sido empleado en ataques dirigidos principalmente a organizaciones del sector financiero y criptográfico, lo que subraya la creciente preocupación por la seguridad en un entorno digital cada vez más interconectado.

RemotePE, según el análisis realizado por la subsidiaria de NCC Group, Fox-IT, forma parte de una cadena de ataque de múltiples etapas que implica dos cargadores conocidos como DPAPILoader y RemotePELoader. Estos cargadores desempeñan un papel fundamental en el proceso de infiltración, al permitir que RemotePE se instale y ejecute en los sistemas de las víctimas. La utilización de múltiples capas de malware es una táctica común en los grupos de hackers avanzados, ya que les permite evadir las medidas de detección y mejorar la eficacia de sus ataques.

Desde un punto de vista técnico, DPAPILoader actúa como un cifrador que se encarga de descompensar y cargar el componente RemotePE en el sistema objetivo. Este proceso de carga es crítico, ya que permite que el malware se esconda en la memoria del sistema, dificultando su detección por parte de las soluciones de seguridad tradicionales. Además, RemotePE ha demostrado ser altamente versátil, ya que puede ejecutarse en diferentes sistemas operativos, lo que amplía su potencial de propagación y complicación para las estrategias defensivas.

El impacto de estas actividades maliciosas es significativo, especialmente para las instituciones financieras y las empresas de criptomonedas, que son blanco habitual de ataques debido a la naturaleza valiosa de sus activos. La infiltración de RemotePE puede resultar en la exfiltración de datos sensibles, la pérdida de fondos y daños a la reputación, así como en la posibilidad de que se utilicen las credenciales robadas para llevar a cabo transacciones fraudulentas. Esto no solo afecta a las empresas directamente atacadas, sino que también tiene repercusiones para sus clientes y la confianza general en el ecosistema financiero digital.

Históricamente, el Lazarus Group ha sido responsable de una serie de ciberataques significativos, incluyendo el ataque a Sony Pictures en 2014 y los robos de criptomonedas en exchanges, lo que resalta su capacidad y persistencia en el ámbito del cibercrimen. Estos incidentes subrayan la importancia de que las organizaciones adopten una postura de ciberseguridad proactiva y se mantengan informadas sobre las tendencias emergentes en ataques de malware.

Para mitigar el riesgo asociado con RemotePE y otros malware similares, las empresas deben implementar medidas de seguridad robustas. Esto incluye la adopción de soluciones de detección y respuesta ante amenazas, la capacitación continua del personal en ciberseguridad y la realización de auditorías de seguridad periódicas. Asimismo, es fundamental mantener actualizados los sistemas y aplicaciones para cerrar posibles vulnerabilidades que los atacantes puedan explotar.

En conclusión, la aparición de RemotePE como parte de la estrategia del Lazarus Group resuena como una llamada de atención para todas las organizaciones, especialmente aquellas en el sector financiero y criptográfico. La creciente sofisticación de los métodos de ataque exige una respuesta igualmente avanzada y coordinada por parte de las empresas, para salvaguardar sus activos y mantener la confianza del público en un entorno digital que, aunque prometedor, también puede ser altamente vulnerable.

Lazarus Deploys RemotePE Memory-Only RAT Against Financial and Crypto Firms

Source: The Hacker News

Cybersecurity researchers have shed light on a cross-platform malware called RemotePE that has been put to use by the North Korea-linked Lazarus Group in attacks targeting financial and cryptocurrency organizations. RemotePE, per NCC Group subsidiary Fox-IT, is part of a multi-stage attack chain that involves two loaders tracked as DPAPILoader and RemotePELoader. "DPAPILoader decrypts and