Noticias

Dacls reaparece como un troyano en una aplicación de 2FA

Dacls, el troyano del grupo norcoreano Lazarus, ha reaparecido tras su primer avistamiento en diciembre de 2019. Y vuelve con interesantes novedades.

Publicado

en

Es tan amplio el espectro de amenazas que pululan por la red que, en ocasiones, es difícil elegir en cuál fijarse. Sin embargo, en ocasiones aparecen patógenos como Dacls, con algunas singularidades, ya sean técnicas o de otro tipo, que lo hacen destacar sobre el resto. En este caso hablamos de un troyano que, según los investigadores de Malwarebytes, tiene su origen en Corea del Norte y que estaría firmado por el grupo Lazarus. De momento afecta principalmente a China, pero tiene algunos elementos interesantes, de los que vamos a hablar ahora, y que hacen probable que en poco tiempo veamos campañas similares adaptadas al escenario occidental.

Lo primero que nos llama la atención, al analizar el informe que ha publicado la compañía de seguridad es su objetivo. Y es que a diferencia de la primera aparición de Dacls a finales de 2019, cuando atacó ordenadores con Windows y Linux, en esta ocasión su objetivo son sistemas con MacOS X, es decir, ordenadores de Apple. No es, obviamente, la primera vez que vemos malware para Mac, pero llama la atención que estos sistemas se hayan convertido en un objetivo para Lazarus, grupo al que muchos analistas relacionan directamente con el régimen de Pyongyang.

En este punto debemos recordar que Lazarus es, a día de hoy, uno de los grupos con mayor potencial de ataque. Conocido también como Hidden Cobra y APT 38 lleva operativo desde 2009, y en estos once años ha llevado a cabo todo tipo de acciones de ciberdelincuencia y ciberespionaje. Es precisamente por este último punto, así como por las propiedades del acceso a Internet del que disponen, por que el existe consenso internacional alrededor de la idea de que el grupo depende de las estructuras de poder gestionadas por Kim Jong-un.

En cuanto a la segunda singularidad de Dacls es que, para llegar a sus víctimas, se oculta en una aplicación destinada, supuestamente, a proporcionar los códigos necesarios para la segunda fase de la acreditación en identificaciones 2FA. Emula, por lo tanto, servicios como Google Authenticator o Authy, que en conexión con las cuentas de usuario de determinados servicios, permite añadir una capa extra de seguridad para evitar los accesos no deseados a las mismas. El nombre de la aplicación es MinaOTP.

Tampoco es la primera vez que el malware intenta vestirse de producto de seguridad. Muchos recordarán los rogue antivirus, esas supuestas soluciones de seguridad que, impostando ser beneficiosas para el usuario, en realidad son la puerta de entrada para todo tipo de malware. Lo llamativo es que, con Dacls, Lazarus ha dado el salto a otro tipo de aplicaciones relacionadas con la seguridad. Un tipo que, además, no ha dejado de ganar tracción de un tiempo a esta parte, gracias a la progresiva implantación de 2FA en muchos servicios online.

Este es, sin duda, una acción muy inteligente por parte de los ciberdelincuentes, conocedores de la errónea sensación de seguridad que experimentan muchos usuarios ante aplicacione supuestamente relacionadas con la seguridad. Y esto es, a su vez, un recordatorio de que, precisamente cuando hablamos de aplicaciones y servicios de seguridad, es cuando más atentos debemos estar a lo que instalamos en nuestros sistemas. Y es que, precisamente por esa falsa sensación de seguridad, podemos estar más expuestos que nunca.

Lo más leído

Salir de la versión móvil