Le groupe Lazarus intensifie son cyber-attaque sur le marché des crypto-monnaies, en déployant des logiciels malveillants sophistiqués via de fausses applications vidéo et en élargissant son ciblage des extensions de navigateur.

Le célèbre gang de hackers nord-coréens Lazarus Group, connu pour ses campagnes informatiques sophistiquées contre l'industrie de la cryptographie, intensifie ses efforts pour cibler les professionnels et les développeurs de la cryptographie. Le groupe a introduit de nouvelles variantes de logiciels malveillants et a élargi son champ d'action pour inclure les applications de visioconférence, selon un récent rapport de recherche de Group-IB, une société de cybersécurité.

En 2024, Lazarus a étendu ses attaques avec la campagne « Contagious Interview », qui incite les demandeurs d’emploi à télécharger des logiciels malveillants déguisés en tâches liées à l’emploi. Le programme comprend désormais une fausse application de visioconférence appelée « FCCCall » qui imite un véritable logiciel et installe le logiciel malveillant BeaverTail, qui déploie ensuite la porte dérobée basée sur Python « InvisibleFerret ».

« La fonctionnalité principale de BeaverTail reste inchangée : elle exfiltre les informations d'identification des navigateurs et les données des extensions de navigateur des portefeuilles de crypto-monnaie. »

Groupe IB

Vous pourriez également aimer : Les pirates du groupe Lazarus lancent une nouvelle méthode pour les cyberattaques

Les chercheurs du Group-IB ont également identifié une nouvelle suite de scripts Python baptisée « CivetQ » dans le cadre de la boîte à outils évolutive de Lazarus. Les tactiques du groupe incluent désormais l’utilisation de Telegram pour l’exfiltration de données et l’extension de leur portée aux référentiels liés aux jeux, en transformant les projets basés sur Node.js en trojans pour diffuser leurs malwares.

« Après avoir établi un premier contact, ils tentaient souvent de déplacer la conversation sur Telegram, où ils [les pirates] demandaient ensuite aux candidats potentiels de télécharger une application de visioconférence ou un projet Node.js pour effectuer une tâche technique dans le cadre du processus d'entretien. »

Groupe IB

La dernière campagne de Lazarus met en évidence leur concentration croissante sur les extensions de navigateur de portefeuilles cryptographiques, soulignent les analystes de Group-IB, ajoutant que les mauvais acteurs ciblent désormais une liste croissante d'applications, notamment MetaMask, Coinbase, BNB Chain Wallet, TON Wallet et Exodus Web3, entre autres.

Le groupe a également développé des méthodes plus sophistiquées pour masquer son code malveillant, rendant la détection plus difficile.

Cette escalade reflète des tendances plus larges mises en évidence par le FBI, qui a récemment mis en garde contre le fait que les cybercriminels nord-coréens ciblent les employés des secteurs de la finance décentralisée et des cryptomonnaies avec des campagnes d’ingénierie sociale hautement spécialisées. Selon le FBI, ces tactiques sophistiquées sont conçues pour pénétrer même les systèmes les plus sécurisés, ce qui représente une menace permanente pour les organisations disposant d’actifs cryptographiques importants.

Lire la suite : Le groupe Lazarus aurait déplacé des fonds volés suite au piratage Bitcoin de 308 millions de dollars de DMM