Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

În 2018, echipa globală de cercetare și analiză Kaspersky (GReAT) a publicat descoperirile despre AppleJeus, o operațiune care urmărea furtul de criptomonede, efectuată de prolificul atacator cibernetic Lazarus. Acum, noile descoperiri arată că operațiunea continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac. Operațiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.
Economica.net - joi, 09 ian. 2020, 11:33
Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

Grupul Lazarus este unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), desfășurând o serie de campanii ce vizează organizații din domeniul criptomonedelor. În timpul operațiunii inițiale AppleJeus din 2018, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime.

Această operațiune a marcat construirea de către Lazarus a primului program malware pentru MacOS. Aplicația a fost descărcată de utilizatori de pe site-uri terțe, iar programul periculos a fost livrat deghizat într-un update de rutină al aplicației. Acesta a permis atacatorului să obțină control complet asupra dispozitivului utilizatorului și să fure criptomonede.

Cercetătorii Kaspersky au identificat modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau link-uri către false canale Telegram de companie și livrau malware prin messenger.

La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicație iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament.

În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat.

Lazarus a făcut, de asemenea, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni. Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări.

„Noua operațiune AppleJeus demonstrează că, în ciuda stagnării semnificative pe piețele de criptomonede, Lazarus continuă să investească în atacuri legate de criptomonede, făcându-le mai complexe”, explică Seongsu Park, security researche la Kaspersky. „Alte schimbări și diversificarea malware-ului lor demonstrează că nu există niciun motiv să credem că aceste atacuri nu vor crește ca număr, devenind o amenințare mai gravă.”

Grupul Lazarus, cunoscut pentru operațiunile sale complexe și legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj și sabotaj cibernetic, ci și prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor și a altor companii financiare de către grup.

Pentru a se proteja împotriva acestui atac și a atacurilor similare, specialiştii Kaspersky le recomandă companiilor din domeniul criptomonedelor să aplice următoarele măsuri:

  • Introduceți o pregătire de bază pentru toți angajații în ceea ce privește securitatea, astfel încât aceștia să poată distinge mai bine încercările de phishing.
  • Efectuați o evaluare a securității aplicației. Vă poate ajuta să vă arătați fiabilitatea către potențialii investitori.
  • Monitorizați vulnerabilitățile emergente în domeniu.

Pentru utilizatorii care explorează deja criptomonedele sau intenționează să facă acest lucru, Kaspersky recomandă următoarele:

  • Utilizați numai platforme de criptomonede care au dovedit că sunt de încredere.
  • Nu dați click pe link-urile care vă atrag către o bancă online sau un portofel web.
  • Utilizați o soluție de securitate fiabilă pentru o protecție completă împotriva unei game largi de amenințări.
Te-ar mai putea interesa și
Kostas Salvaras a fost numit Area Vice President South-East Europe Cluster în cadrul Philip Morris International
Kostas Salvaras a fost numit Area Vice President South-East Europe Cluster în cadrul Philip Morris International
Începând cu 1 septembrie 2024, Philip Morris International (PMI) l-a numit pe Kostas Salvaras (foto) în funcția de Area Vice President South-East Europe Cluster. El îl înlocuiește pe Christos......
Compania energetică poloneză R.Power, prezentă şi în România, emite obligațiuni verzi în valoare de 122 de milioane de euro
Compania energetică poloneză R.Power, prezentă şi în România, emite obligațiuni verzi în valoare de 122 de milioane ...
R.Power, un dezvoltator polonez de top de proiecte fotovoltaice, a emis obligațiuni verzi în valoare de 122 de milioane ...
Grupul polonez XTB raportează o creștere de 80% a profitului în trimestrul III din 2024
Grupul polonez XTB raportează o creștere de 80% a profitului în trimestrul III din 2024
Compania de investiții poloneză XTB, care e prezentă și în ROmânia, anunță că a înregistrat, în trimestrul al ...
Comisarul european pentru Climă pune frână zvonurilor privind amânarea stopării vânzărilor de vehicule care emit CO2
Comisarul european pentru Climă pune frână zvonurilor privind amânarea stopării vânzărilor de vehicule care emit CO2
Wopke Hoekstra, comisarul european pentru Climă, a reconfirmat pe 7 noiembrie planurile UE de a pune capăt vânzărilor ...