Die Lazarus Group intensiviert ihren Cyberangriff auf den Kryptomarkt, indem sie hochentwickelte Malware über gefälschte Video-Apps verbreitet und ihre Angriffe auf Browsererweiterungen ausweitet.

Die berüchtigte nordkoreanische Hackerbande Lazarus Group, bekannt für ihre ausgeklügelten Cyberkampagnen gegen die Kryptoindustrie, verstärkt ihre Bemühungen, Krypto-Experten und -Entwickler ins Visier zu nehmen. Die Gruppe hat neue Malware-Varianten eingeführt und ihren Fokus auf Videokonferenzanwendungen ausgeweitet, so ein aktueller Forschungsbericht des Cybersicherheitsunternehmens Group-IB.

Im Jahr 2024 erweiterte Lazarus seine Angriffe mit der Kampagne „Contagious Interview“, bei der Arbeitssuchende dazu verleitet wurden, Malware herunterzuladen, die als arbeitsbezogene Aufgaben getarnt war. Das Schema umfasst jetzt eine gefälschte Videokonferenz-App namens „FCCCall“, die echte Software nachahmt und die BeaverTail-Malware installiert, die dann die Python-basierte Hintertür „InvisibleFerret“ einsetzt.

„Die Kernfunktionalität von BeaverTail bleibt unverändert: Es exfiltriert Anmeldeinformationen aus Browsern und Daten aus der Browsererweiterung für Kryptowährungs-Wallets.“

Gruppe-IB

Das könnte Sie auch interessieren: Hacker der Lazarus Group führen neue Methode für Cyberangriffe ein

Die Forscher von Group-IB haben außerdem eine neue Suite von Python-Skripten namens „CivetQ“ als Teil des sich entwickelnden Toolkits von Lazarus identifiziert. Die Taktik der Gruppe umfasst nun die Verwendung von Telegram zur Datenexfiltration und die Ausweitung ihrer Reichweite auf Gaming-bezogene Repositories sowie die Trojanisierung von Node.js-basierten Projekten zur Verbreitung ihrer Malware.

„Nach der ersten Kontaktaufnahme versuchten sie oft, das Gespräch auf Telegram zu verlagern, wo sie [die Hacker] die potenziellen Interviewpartner dann aufforderten, eine Videokonferenzanwendung oder ein Node.js-Projekt herunterzuladen, um im Rahmen des Interviewprozesses eine technische Aufgabe auszuführen.“

Gruppe-IB

Die jüngste Kampagne von Lazarus unterstreicht deren zunehmenden Fokus auf Browsererweiterungen für Krypto-Wallets, betonen Analysten von Group-IB und fügen hinzu, dass die Cyberkriminellen es mittlerweile auf eine wachsende Liste von Anwendungen abgesehen haben, darunter unter anderem MetaMask, Coinbase, BNB Chain Wallet, TON Wallet und Exodus Web3.

Darüber hinaus hat die Gruppe ausgefeiltere Methoden entwickelt, um ihren Schadcode zu verschleiern, was die Erkennung erschwert.

Die Eskalation spiegelt allgemeinere Trends wider, auf die das FBI hingewiesen hat. Das FBI warnte kürzlich davor, dass nordkoreanische Cyber-Akteure mit hochspezialisierten Social-Engineering-Kampagnen Mitarbeiter im dezentralen Finanz- und Kryptowährungssektor ins Visier nehmen. Laut dem FBI sind diese ausgeklügelten Taktiken darauf ausgelegt, selbst in die sichersten Systeme einzudringen, was eine anhaltende Bedrohung für Organisationen mit beträchtlichen Krypto-Assets darstellt.

Weiterlesen: Lazarus Group verschiebt angeblich gestohlene Gelder aus DMM-Bitcoin-Hack im Wert von 308 Millionen US-Dollar