Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

În 2018, echipa globală de cercetare și analiză Kaspersky (GReAT) a publicat descoperirile despre AppleJeus, o operațiune care urmărea furtul de criptomonede, efectuată de prolificul atacator cibernetic Lazarus. Acum, noile descoperiri arată că operațiunea continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac. Operațiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.
Economica.net - joi, 09 ian. 2020, 11:33
Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

Grupul Lazarus este unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), desfășurând o serie de campanii ce vizează organizații din domeniul criptomonedelor. În timpul operațiunii inițiale AppleJeus din 2018, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime.

Această operațiune a marcat construirea de către Lazarus a primului program malware pentru MacOS. Aplicația a fost descărcată de utilizatori de pe site-uri terțe, iar programul periculos a fost livrat deghizat într-un update de rutină al aplicației. Acesta a permis atacatorului să obțină control complet asupra dispozitivului utilizatorului și să fure criptomonede.

Cercetătorii Kaspersky au identificat modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau link-uri către false canale Telegram de companie și livrau malware prin messenger.

La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicație iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament.

În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat.

Lazarus a făcut, de asemenea, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni. Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări.

„Noua operațiune AppleJeus demonstrează că, în ciuda stagnării semnificative pe piețele de criptomonede, Lazarus continuă să investească în atacuri legate de criptomonede, făcându-le mai complexe”, explică Seongsu Park, security researche la Kaspersky. „Alte schimbări și diversificarea malware-ului lor demonstrează că nu există niciun motiv să credem că aceste atacuri nu vor crește ca număr, devenind o amenințare mai gravă.”

Grupul Lazarus, cunoscut pentru operațiunile sale complexe și legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj și sabotaj cibernetic, ci și prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor și a altor companii financiare de către grup.

Pentru a se proteja împotriva acestui atac și a atacurilor similare, specialiştii Kaspersky le recomandă companiilor din domeniul criptomonedelor să aplice următoarele măsuri:

  • Introduceți o pregătire de bază pentru toți angajații în ceea ce privește securitatea, astfel încât aceștia să poată distinge mai bine încercările de phishing.
  • Efectuați o evaluare a securității aplicației. Vă poate ajuta să vă arătați fiabilitatea către potențialii investitori.
  • Monitorizați vulnerabilitățile emergente în domeniu.

Pentru utilizatorii care explorează deja criptomonedele sau intenționează să facă acest lucru, Kaspersky recomandă următoarele:

  • Utilizați numai platforme de criptomonede care au dovedit că sunt de încredere.
  • Nu dați click pe link-urile care vă atrag către o bancă online sau un portofel web.
  • Utilizați o soluție de securitate fiabilă pentru o protecție completă împotriva unei game largi de amenințări.
Te-ar mai putea interesa și
Inechităţile din Codul fiscal care afectează oamenii cu venituri din activităţi independente: penalizaţi cei cu venituri sub 6 salarii minime, privilegiaţi cei cu venituri peste 60 de salarii minime
Inechităţile din Codul fiscal care afectează oamenii cu venituri din activităţi independente: penalizaţi cei cu venituri ...
Modificările introduse în Codul fiscal prin Legea 296/2023 penalizează oamenii cu venituri mici din activităţi independente, sub 6 salarii minime pe an, şi îi avantajează pe cei cu venituri......
Rippling, un startup din Silicon Valley evaluat la 13,5 miliarde de dolari, vine în România
Rippling, un startup din Silicon Valley evaluat la 13,5 miliarde de dolari, vine în România
Startup-ul american de software pentru gestionarea resurselor umane Rippling, evaluat la 13,5 miliarde de dolari, după ce ...
Băncile grecești dispar din România, cele cu capital autohton și italian cresc. Posibile tranzacții bancare ar putea urca pe locul doi capitalul italian în următorii ani
Băncile grecești dispar din România, cele cu capital autohton și italian cresc. Posibile tranzacții bancare ar putea ...
În 2024, sistemul bancar merge către o consolidare clară: ponderea capitalului autohton, privat și de stat, a devenit ...
Amendă de la 2.000 lei la 10.000 lei pentru funcţionarii ANAF care nu respectă obligaţiile în relaţia cu contribuabilii – proiect USR
Amendă de la 2.000 lei la 10.000 lei pentru funcţionarii ANAF care nu respectă obligaţiile în relaţia cu contribuabilii ...
Funcţionarii ANAF ar putea plăti amenzi dacă nu respectă termenele pentru trimiterea comunicărilor şi obligaţiile ...