Más de 100 organizaciones en todo el mundo han sido afectadas por una nueva campaña coordinada utilizando sitios web comprometidos para infectarlas con malware vinculado al Grupo Lazarus, según Symantec.

El origen del ataque parece haber sido el sitio web del regulador financiero polaco, que fue comprometido y utilizado para redirigir a los visitantes y así descargar malware en sólo 150 direcciones IP específicas.

Las 104 organizaciones que fueron objetivos son principalmente bancos, otras de telecomunicaciones y algunas firmas de Internet ubicadas en 31 países, afirmó la empresa de seguridad.

La campaña ha estado en marcha desde octubre del año pasado, con Symantec bloqueando 14 ataques contra equipos en México, 11 contra Uruguay y dos contra Polonia.

Aparentemente, otros países afectados incluyen a Reino Unido, Colombia, Brasil, Chile, Dinamarca y Venezuela.

"El análisis del malware [Downloader.Ratankba] todavía está en progreso. Algunas cadenas de código que se ven en el malware utilizan partes comunes del código de malware utilizado por el grupo conocido como Lazarus", explicó Symantec en una publicación del blog.

"Ratankba fue visto en eye-watch[.]in para comunicaciones de comando y control (C&C). Ratankba descargaba un Hacktool, el cual muestra características similares con malware previamente asociado con Lazarus."

El Grupo Lazarus, que se cree de origen norcoreano, ha estado vinculado a varios ataques contra objetivos en Estados Unidos y Corea del Sur, especialmente en una importante campaña de ataques de DDoS en el 2011 y la backdoor Destover, para borrar el ataque a Sony Pictures Entertainment tres años después.

Incluso estuvo vinculado con el masivo robo de 81 millones de dólares en el Banco de Bangladesh y otros intentos de robar dinero de los bancos utilizando el sistema Swift global de transferencias.

Hasta el momento no hay evidencia de que los bancos comprometidos por la última campaña han sufrido de robo de dinero como resultado.