BlueNoroff Utiliza ClickFix, PowerShell Sin Archivos y Reuniones Falsas de Zoom Generadas por IA para Atacar el Sector Web3
Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
BlueNoroff, un subgrupo del Grupo Lazarus asociado a la RPDC y motivado económicamente, llevó a cabo una intrusión dirigida contra una empresa norteamericana de Web3 y criptomonedas. Los atacantes combinaron técnicas de ClickFix, ejecución sin archivos de PowerShell, e invitaciones falsas a reuniones de Zoom generadas por IA para asegurar el acceso inicial y ampliar su alcance dentro del entorno. La operación destaca una combinación madura de ingeniería social y tácticas de vivir de la tierra diseñadas para apoyar el robo de criptomonedas.
Investigación
Los analistas de Arctic Wolf detectaron la intrusión tras identificar actividad inusual de PowerShell y enlaces maliciosos de reuniones de Zoom mejorados con contenido generado por IA. Evidencias adicionales apuntaron a métodos de entrega ClickFix y ejecución sin archivos, indicando un claro intento de evadir las defensas convencionales de antivirus. La atribución a BlueNoroff se basó en las herramientas observadas, comportamiento operacional y patrones de destreza asociados durante mucho tiempo con la actividad del Grupo Lazarus.
Mitigación
Las organizaciones deben requerir autenticación multifactor para Zoom y otras plataformas de conferencias, limitar el acceso innecesario de PowerShell remoto y monitorear de cerca los binarios sospechosos relacionados con ClickFix. Los controles de seguridad de correo electrónico también deben fortalecerse para detectar señuelos de phishing generados por IA, mientras que los usuarios deben ser entrenados para verificar invitaciones inesperadas a reuniones antes de interactuar con ellas.
Respuesta
Si se detecta esta actividad, se deben aislar inmediatamente los puntos finales afectados, capturar la memoria volátil y realizar un análisis forense de los registros de PowerShell y cualquier artefacto relacionado con ClickFix. Las credenciales comprometidas deben ser revocadas, los secretos sensibles rotados, y deben activarse los procedimientos de respuesta a incidentes para un posible robo de criptomonedas. También se deben compartir los indicadores relevantes con los ISACs de la industria y se deben actualizar las detecciones para reflejar los hallazgos más recientes.
Flujo de Ataque
Todavía estamos actualizando esta parte. Regístrate para ser notificado
NotifícameDetecciones
Descargar o Subir vía PowerShell (a través de cmdline)
Ver
Cadenas de PowerShell sospechosas (a través de cmdline)
Ver
Uso sospechoso de CURL (a través de cmdline)
Ver
Uso sospechoso de Invoke-RestMethod (a través de PowerShell)
Ver
Cadenas de PowerShell sospechosas (a través de PowerShell)
Ver
Llamada a métodos .NET sospechosos desde PowerShell (a través de PowerShell)
Ver
Llamada a funciones API de Windows sospechosas desde PowerShell (a través de PowerShell)
Ver
Posibles indicadores de ofuscación de PowerShell (a través de PowerShell)
Ver
Binarios / Scripts sospechosos en ubicación de inicio automático (a través de file_event)
Ver
Posible abuso de Telegram como canal de mando y control (a través de dns_query)
Ver