Seguridad

BloxHolder, una aplicación criptográfica falsa para robar criptomonedas

El grupo de Corea del Norte denominado «Lazarus» está asociado a una nueva aplicación de criptomonedas, que tiene como objetivo instalar el malware AppleJeus para proporcionar acceso a la red y robar activos criptográficos.

En dicha campaña se utilizaba el dominio «bloxholder[.]com» clonando el contenido de HaasOnline, una plataforma de comercio de criptomonedas actualizada.

En este lugar, se distribuía un instalador de MSI de Windows de 12,7MB pretendiendo ser la app de BloxHolder. Cuando en realidad, resultó ser el malware AppleJeus junto a otra aplicación, QTBitcoinTrader.

Nombre del archivo BloxHolder_v1.2.5.msi
Tamaño 13305856 bytes
MD5 245bb604621cea7962668325995bca7c
SHA1 cc5544eff3e5b9cf20d8cf2291147596d4346dbe
SHA256 eee4e3612af96b694e28e3794c4ee4af2579768e8ec6b21daf71acfc6e22d52b
Detalles del archivo MSI distribuido

Posteriormente el grupo evolucionó su campaña para usar documentos de MICROSOFT OFFICE en lugar de el instalador para distribuir el malware.

Dicho documento de 214KB con nombre «OKX Binance & Huobi VIP fee comparision.xls» contenían una macro que creaba 3 archivos en el dispositivo de la víctima.

Tras la instalación a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta «%APPDATA%RoamingBloxholder«.

A continuación recopila la MAC, nombre del equipo, versión del sistema operativo y posteriormente envia todos los datos al C2 (servidor command & control) a través de una petición HTTP de tipo POST. Dicha solicitud tendría como objetivo comprobar si se está ejecutando en una máquina virtual o en algún otro tipo de entorno asilado.

«Específicamente, CameraSettingsUIHost.exe carga el archivo dui70.dll del directorio System32, lo que provoca la carga del archivo malicioso DUser.dll del directorio de la aplicación en el proceso CameraSettingsUIHost.exe. «

Explicó Volexity

Sin embargo, dicha carga del malware es capaz de evadir la detección de Antivirus debido a que, el archivo dui70.dll, es el Motor DirectUI de Windows y normalmente se instala como parte del sistema operativo.

Conventional DLL side-loading (Volexity)

Actualmente la razón por la que Lazarus optó por la carga lateral de DLL encadenada no está clara, pero podría ser para impedir el análisis de malware.

Otra característica nueva en las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo personalizado, lo que las hace más sigilosas frente a los productos de seguridad.

Mas información:

La entrada BloxHolder, una aplicación criptográfica falsa para robar criptomonedas se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.