Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

În 2018, echipa globală de cercetare și analiză Kaspersky (GReAT) a publicat descoperirile despre AppleJeus, o operațiune care urmărea furtul de criptomonede, efectuată de prolificul atacator cibernetic Lazarus. Acum, noile descoperiri arată că operațiunea continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac. Operațiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.
Economica.net - joi, 09 ian. 2020, 11:33
Lazarus își îmbunătățește arsenalul, cu un nou atac AppleJeus, în domeniul criptomonedelor

Grupul Lazarus este unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), desfășurând o serie de campanii ce vizează organizații din domeniul criptomonedelor. În timpul operațiunii inițiale AppleJeus din 2018, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime.

Această operațiune a marcat construirea de către Lazarus a primului program malware pentru MacOS. Aplicația a fost descărcată de utilizatori de pe site-uri terțe, iar programul periculos a fost livrat deghizat într-un update de rutină al aplicației. Acesta a permis atacatorului să obțină control complet asupra dispozitivului utilizatorului și să fure criptomonede.

Cercetătorii Kaspersky au identificat modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau link-uri către false canale Telegram de companie și livrau malware prin messenger.

La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicație iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament.

În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat.

Lazarus a făcut, de asemenea, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni. Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări.

„Noua operațiune AppleJeus demonstrează că, în ciuda stagnării semnificative pe piețele de criptomonede, Lazarus continuă să investească în atacuri legate de criptomonede, făcându-le mai complexe”, explică Seongsu Park, security researche la Kaspersky. „Alte schimbări și diversificarea malware-ului lor demonstrează că nu există niciun motiv să credem că aceste atacuri nu vor crește ca număr, devenind o amenințare mai gravă.”

Grupul Lazarus, cunoscut pentru operațiunile sale complexe și legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj și sabotaj cibernetic, ci și prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor și a altor companii financiare de către grup.

Pentru a se proteja împotriva acestui atac și a atacurilor similare, specialiştii Kaspersky le recomandă companiilor din domeniul criptomonedelor să aplice următoarele măsuri:

  • Introduceți o pregătire de bază pentru toți angajații în ceea ce privește securitatea, astfel încât aceștia să poată distinge mai bine încercările de phishing.
  • Efectuați o evaluare a securității aplicației. Vă poate ajuta să vă arătați fiabilitatea către potențialii investitori.
  • Monitorizați vulnerabilitățile emergente în domeniu.

Pentru utilizatorii care explorează deja criptomonedele sau intenționează să facă acest lucru, Kaspersky recomandă următoarele:

  • Utilizați numai platforme de criptomonede care au dovedit că sunt de încredere.
  • Nu dați click pe link-urile care vă atrag către o bancă online sau un portofel web.
  • Utilizați o soluție de securitate fiabilă pentru o protecție completă împotriva unei game largi de amenințări.
Te-ar mai putea interesa și
Cum și-a rezolvat Profi, cel mai mare angajator din România, problemele generate de creșterea numărului de salariați: Au „angajat” un robot
Cum și-a rezolvat Profi, cel mai mare angajator din România, problemele generate de creșterea numărului de salariați: ...
Retailerul Profi, operat de fondul de investiții Mid Europa Partners, cel mai mare angajator din România conform datelor din 2020, a investit într-un robot care va prelua sarcinile legate de......
Appraisal & Valuation SA a atras 4,4 milioane de lei în prima zi a plasamentul privat
Appraisal & Valuation SA a atras 4,4 milioane de lei în prima zi a plasamentul privat
TradeVille a încheiat cu succes și în mod anticipat, chiar în prima zi, în condițiile unei suprasubscrieri de peste ...
Top cele mai valoroase branduri din lume 2021 – Kantar
Top cele mai valoroase branduri din lume 2021 – Kantar
Amazon şi Apple sunt în 2021 cele mai valoroase branduri din lume dar mărcile din China ocupă poziţii din ce în ce ...
Petrom intră pe piața de gaze naturale lichefiate
Petrom intră pe piața de gaze naturale lichefiate
OMV Petrom, cea mai mare companie de energie din Europa de Sud-Est, a obținut licența pentru comercializarea de gaze naturale ...