Grupo Lazarus de Corea del Norte ataca usuarios de macOS con nueva campaña ClickFix

Lazarus, el grupo norcoreano, enfoca sus ataques en usuarios de macOS

El grupo de amenazas persistentes avanzadas (APT) conocido como Lazarus, vinculado a Corea del Norte, ha intensificado recientemente su campaña de ciberataques dirigidos a usuarios de macOS. Esta actividad forma parte de un patrón consistente de operaciones maliciosas que buscan explotar las plataformas menos defendidas y aprovechar la menor familiaridad de los usuarios con las medidas de seguridad en macOS.

Estrategia de ataque y vectores de infección

Los atacantes detrás de Lazarus utilizan archivos maliciosos disfrazados que apelan a la curiosidad y urgencia del usuario. En esta campaña, una pieza clave es un instalador fraudulento denominado “ClickFix”, que simula una actualización o una aplicación legítima para atraer a las víctimas a ejecutar código malicioso en sus equipos. Esto es un claro ejemplo de ingeniería social aplicada con precisión, combinada con técnicas de desarrollo de malware adaptadas a la arquitectura y sistemas del entorno macOS.

Funcionalidad y alcance del malware

El malware desplegado por Lazarus en esta campaña tiene capacidades avanzadas para recopilar información, mantener persistencia y evadir detección. Entre sus principales funciones destaca la capacidad para:

Ejecutar comandos arbitrarios enviados desde un servidor de comando y control (C2).
Registrar actividades del usuario y recolectar información sensible almacenada en el sistema infectado.
Instalar puertas traseras que permitan accesos continuos incluso tras intentos de limpieza o reinicio del equipo.

Esta sofisticación técnica indica un desarrollo bien financiado y orientado hacia objetivos estratégicos y de alto valor para el grupo Lazarus, cuya motivación generalmente está ligada a espionaje, robo de datos sensibles y financiamiento ilícito para el régimen norcoreano.

Implicaciones para la comunidad de usuarios macOS

Esta campaña es un llamado de atención para los usuarios de macOS, acostumbrados a considerarse menos vulnerables frente a las amenazas típicas que afectan a otras plataformas. La realidad es que, aunque macOS tiene ciertas ventajas en seguridad integradas de fábrica, la falta de parches específicos para este tipo de ataques, junto a comportamientos inseguros como abrir instaladores provenientes de fuentes no oficiales, aumentan considerablemente la superficie de ataque.

Además, la importancia de implementar controles de seguridad adicionales, tales como soluciones antivirus especializadas para macOS, la adopción de herramientas de detección de comportamiento anómalo y la formación continua en concienciación sobre ingeniería social, se vuelve crucial para mitigar estos riesgos.

Recomendaciones para mitigar el riesgo

Los expertos en seguridad recomiendan adoptar una serie de prácticas para minimizar la probabilidad de infección por esta y futuras campañas de Lazarus o grupos similares:

Verificar siempre la procedencia de los instaladores y actualizaciones, especialmente cuando provienen de enlaces desconocidos o inesperados.
Mantener el sistema operativo y aplicaciones constantemente actualizados, aplicando los parches oficiales que refuercen las defensas del sistema.
Usar soluciones de seguridad específicas para macOS, que puedan detectar y bloquear malware diseñado para esta plataforma.
Realizar copias de seguridad periódicas y configuradas para prevenir la pérdida de información en caso de incidente.
Capacitar a los usuarios en la identificación de técnicas de ingeniería social utilizadas en campañas de phishing o malware distribuido por canales no convencionales.

Conclusión

La campaña de Lazarus dirigida a usuarios de macOS demuestra la evolución y diversificación de los vectores de ataque que emplean las APT norcoreanas. La adaptabilidad de sus herramientas y la sofisticación en el diseño del malware subrayan la necesidad de que los usuarios y organizaciones refuercen sus posturas defensivas, reconociendo que la seguridad en macOS requiere tanto soluciones técnicas robustas como una cultura de seguridad informática activa.

Para profundizar sobre este tema puede consultarse el artículo original en Dark Reading: North Korea’s Lazarus Targets macOS Users With ClickFix.

← La IA impulsa el phishing y se convierte en el arma favorita de los ciberdelincuentes

¡Conéctate con nosotros en las redes sociales!

Estamos presentes en todas tus plataformas favoritas, compartiendo siempre contenido actualizado y útil para ti.

¿Te interesa aprender sobre ciberseguridad y cómo protegerte en el mundo digital? Escucha nuestro podcast en YouTube, donde te contamos todo sobre seguridad informática de manera práctica y fácil de entender.

Nunca compartiremos tus datos con nadie. Nuestra Política

Nombre	Dominio	Uso	Duración	Tipo
wpl_user_preference	www.antifraude.co	WP GDPR Cookie Consent Preferences.	1 year	HTTP
YSC	youtube.com	YouTube session cookie.	Session	HTTP
_GRECAPTCHA	www.google.com	---	6 months	---
m	m.stripe.com	---	2 years	---

Nombre	Dominio	Uso	Duración	Tipo
NID	google.com	Google unique id for preferences.	6 months	HTTP
__cf_bm	twitter.com	Generic CloudFlare functional cookie.	Session	HTTP

Nombre	Dominio	Uso	Duración	Tipo
VISITOR_PRIVACY_METADATA	youtube.com	---	6 months	---
__Secure-ROLLOUT_TOKEN	youtube.com	---	6 months	---

Servicios de Ethical Hacking, Red Team y SecDevOps

Infraestructura IT y aplicaciones

Servicios Forenses, Evidencias DIgitales y E-Discovery

Procesamiento forense agnóstico

Monitoreo Digital 7x24, SOC Virtual y CISO Virtual

Alianzas con los mejores de la industria

Consultoría en Gobierno, Riesgo y Cumplimiento de Ciberseguridad

Ciberseguridad desde la estrategia

Servicios de Concientización, Ingeniería Social y Simulaciones

El eslabón más debil