Grupul Lazarus, o organizație de hacking nord-coreeană legată anterior de activități criminale, a fost conectată la o nouă schemă de atac pentru a încălca sistemele și a fura criptomonede de la terți. Campania, care folosește o versiune modificată a unui produs malware deja existent numit Applejeus, folosește un site cripto și chiar documente pentru a obține acces la sisteme.
Programul malware Lazarus modificat a folosit site-ul criptografic ca fațadă
Volexity, o firmă de securitate cibernetică cu sediul în Washington DC, l-a legat pe Lazarus, un grup nord-coreean de hacking deja sancționat de guvernul SUA, cu o amenințare care implică utilizarea unui site cripto pentru infectarea sistemelor în scopul de a fura informații și criptomonede de la terți.
O postare pe blog eliberat pe 1 decembrie a dezvăluit că în iunie, Lazarus a înregistrat un domeniu numit „bloxholder.com”, care va fi ulterior stabilit ca o afacere care oferă servicii de tranzacționare automată a criptomonedei. Folosind acest site ca fațadă, Lazarus i-a determinat pe utilizatori să descarce o aplicație care a servit drept încărcătură utilă pentru a livra malware-ul Applejeus, direcționat să fure chei private și alte date din sistemele utilizatorilor.
Aceeași strategie a mai fost folosită de Lazăr. Cu toate acestea, această nouă schemă folosește o tehnică care permite aplicației să „confuze și să încetinească” sarcinile de detectare a malware-ului.
Macrocomenzi pentru documente
Volexity a constatat, de asemenea, că tehnica de livrare a acestui malware utilizatorilor finali s-a schimbat în octombrie. Metoda s-a transformat pentru a utiliza documente Office, în special o foaie de calcul care conține macrocomenzi, un fel de program încorporat în documente conceput pentru a instala malware-ul Applejeus în computer.
Documentul, identificat cu numele „OKX Binance & Huobi VIP fee comparision.xls”, afișează beneficiile pe care se presupune că fiecare dintre programele VIP ale acestor schimburi le oferă la diferitele lor niveluri. Pentru a atenua acest tip de atac, se recomandă blocarea execuției macrocomenzilor în documente și, de asemenea, analiza și monitorizarea creării de noi sarcini în sistemul de operare pentru a fi conștienți de noile sarcini neidentificate care rulează în fundal. Cu toate acestea, Velocity nu a informat cu privire la nivelul de acoperire pe care l-a atins această campanie.
Lazăr era formal pus sub acuzare de către Departamentul de Justiție al SUA (DOJ) în februarie 2021, implicând un agent al grupului legat de o organizație de informații nord-coreeană, Reconnaissance General Bureau (RGB). Înainte de asta, în martie 2020, DOJ pus sub acuzare doi cetățeni chinezi pentru că au ajutat la spălarea a peste 100 de milioane de dolari în criptomonede legate de exploiturile lui Lazarus.
Ce părere aveți despre cea mai recentă campanie de malware pentru criptomonede a lui Lazarus? Spune-ne în secțiunea de comentarii de mai jos.
Credite de imagine: Shutterstock, Pixabay, Wiki Commons
Declinare a responsabilităţii: Acest articol este doar în scop informativ. Nu este o ofertă directă sau o solicitare directă a unei oferte de cumpărare sau vânzare sau o recomandare sau aprobare a unor produse, servicii sau companii. Bitcoin.com nu oferă consultanță pentru investiții, impozite, juridice sau contabile. Nici compania, nici autorul nu sunt responsabili, direct sau indirect, pentru orice daune sau pierderi cauzate sau presupuse a fi cauzate de sau în legătură cu utilizarea sau dependența de conținut, bunuri sau servicii menționate în acest articol.
Sursa: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/