Grupa Lazarus nasila cyberataki na rynek kryptowalut, wdrażając wyrafinowane złośliwe oprogramowanie za pośrednictwem fałszywych aplikacji wideo i zwiększając liczbę ataków na rozszerzenia przeglądarek.

Znany północnokoreański gang hakerski Lazarus Group, znany z wyrafinowanych cyberkampanii przeciwko branży kryptograficznej, zwiększa swoje wysiłki, aby atakować profesjonalistów i deweloperów kryptowalut. Grupa wprowadziła nowe warianty złośliwego oprogramowania i rozszerzyła swoją działalność o aplikacje do wideokonferencji, zgodnie z niedawnym raportem badawczym firmy zajmującej się cyberbezpieczeństwem Group-IB.

W 2024 r. Lazarus rozszerzył swoje ataki o kampanię „Contagious Interview”, oszukując osoby poszukujące pracy, aby pobierały złośliwe oprogramowanie podszywające się pod zadania związane z pracą. Schemat obejmuje teraz fałszywą aplikację do wideokonferencji o nazwie „FCCCall”, która naśladuje prawdziwe oprogramowanie i instaluje złośliwe oprogramowanie BeaverTail, które następnie wdraża oparte na Pythonie tylne wejście „InvisibleFerret”.

„Podstawowa funkcjonalność BeaverTail pozostaje niezmieniona: eksfiltruje dane uwierzytelniające z przeglądarek i dane z rozszerzeń przeglądarek portfeli kryptowalut”.

Grupa-IB

Może Ci się również spodobać: Hakerzy z Lazarus Group wprowadzają nową metodę cyberataków

Badacze z Group-IB zidentyfikowali również nowy zestaw skryptów Pythona nazwany „CivetQ” jako część rozwijającego się zestawu narzędzi Lazarus. Taktyka grupy obejmuje teraz używanie Telegrama do eksfiltracji danych i rozszerzanie zasięgu na repozytoria związane z grami, trojanizując projekty oparte na Node.js w celu rozprzestrzeniania swojego złośliwego oprogramowania.

„Po nawiązaniu wstępnego kontaktu często próbowali przenieść rozmowę na Telegram, gdzie [hakerzy] prosili potencjalnych kandydatów o pobranie aplikacji do wideokonferencji lub projektu Node.js w celu wykonania zadania technicznego w ramach procesu rozmowy kwalifikacyjnej”.

Grupa-IB

Analitycy z Group-IB podkreślają, że najnowsza kampania Lazarus podkreśla ich rosnące zainteresowanie rozszerzeniami przeglądarek portfeli kryptowalutowych, dodając, że źli aktorzy mają teraz na celu rosnącą listę aplikacji, w tym MetaMask, Coinbase, BNB Chain Wallet, TON Wallet i Exodus Web3.

Grupa opracowała również bardziej wyrafinowane metody ukrywania złośliwego kodu, co utrudnia jego wykrycie.

Eskalacja odzwierciedla szersze trendy podkreślone przez FBI, które niedawno ostrzegło, że północnokoreańscy cyberaktorzy biorą na celownik pracowników zdecentralizowanych sektorów finansowych i kryptowalutowych za pomocą wysoce wyspecjalizowanych kampanii inżynierii społecznej. Według FBI te wyrafinowane taktyki są tworzone w celu penetracji nawet najbezpieczniejszych systemów, co stanowi ciągłe zagrożenie dla organizacji posiadających znaczne aktywa kryptograficzne.

Czytaj więcej: Grupa Lazarus rzekomo przenosi skradzione fundusze z włamania do DMM Bitcoin o wartości 308 mln USD