Dentro de los grupos especializados en ciberataques que, supuestamente, cuentan con el apoyo de una nación-estado, el grupo Lazarus ha logrado colarse entre los más reconocidos por las acciones realizadas desde hace años. Ahora, investigadores de ESET han descubierto otra campaña dirigida precisamente a investigadores de seguridad que utiliza una versión modificada de la popular aplicación IDA Pro para conseguir su objetivo.
Intentando cazar a los cazadores
Puede resultar curioso ver cómo se dirige un ataque de estas características a un sector tan específico como es el de los investigadores de seguridad, pero, si nos paramos analizarlo, tiene todo el sentido del mundo. Mediante la infección de los sistemas usados por los investigadores, los atacantes podrían obtener información de primera mano relacionada con vulnerabilidades que aún no hayan sido solucionadas y utilizarlas en otros ataques dirigidos.
Tampoco es la primera vez que se observa esta estrategia, ya que Microsoft ya detectó otra campaña dirigida a investigadores de seguridad a principios de 2021, también con el grupo Lazarus como principal sospechoso. En esa ocasión, sin embargo, se utilizó una campaña a través de redes sociales en las que se crearon perfiles falsos que buscaban contactar con investigadores para enviarles proyectos de Visual Studio supuestamente relacionados con una vulnerabilidad pero que contenían una librería maliciosa.
Ahora, con el descubrimiento de esta nueva campaña por parte de los investigadores de ESET, comprobamos que los responsables de Lazarus siguen intentando conseguir víctimas dentro de este sector tan específico.
Detectando la amenaza
Gracias a la labor realizada por el investigador de ESET Anton Cherepanov podemos comprobar como los atacantes introdujeron dos componentes maliciosos en un instalador modificado de IDA Pro 7.5. En este punto, es importante recordar que IDA Pro es una aplicación ampliamente utilizada por la comunidad de investigadores que la utilizan tanto para analizar muestras de malware como para encontrar agujeros de seguridad en aplicaciones de todo tipo.
Debido a que el coste de la licencia de este software es elevado (y a pesar de contar con una versión gratuita con funcionalidades limitadas), no son pocos los que buscan versiones crackeadas de este software para utilizarlo sin pagar. Precisamente de esto se han aprovechado los atacantes, introduciendo librerías maliciosas dentro de los archivos que copian en el sistema cuando se instala esta versión modificada de IDA Pro.
Concretamente, el investigador de ESET descubrió una librería de nombre win_fw.dll que generaba una tarea programada, encargada a su vez de ejecutar un segundo componente malicioso desde la carpeta de complementos de IDA Pro y de nombre idahelper.dll. Una vez ejecutada esta librería se intenta descargar y ejecutar un payload desde una dirección web introducida dentro del código de esta librería maliciosa.
Basándose en el dominio utilizado y la aplicación troyanizada usada, el equipo de investigadores de ESET atribuye este ataque al grupo Lazarus y lo relaciona con otros ataques dirigidos a investigadores de seguridad detectados previamente por Microsoft como Google.
Conclusión
Que grupos de amenazas persistentes avanzadas tengan ahora como objetivo también a investigadores de seguridad es algo que demuestra hasta dónde están dispuestos a llegar para conseguir acceso a vulnerabilidades aún sin parchear, lo que les permitiría lanzar ataques más efectivos y difíciles de detectar.