Lazarus Group усиливает кибератаку на рынок криптовалют, внедряя сложное вредоносное ПО через поддельные видеоприложения и расширяя свое влияние на расширения браузеров.

Печально известная северокорейская хакерская группировка Lazarus Group, известная своими сложными киберкампаниями против криптоиндустрии, наращивает усилия по атакам на профессионалов и разработчиков криптоиндустрии. Согласно недавнему отчету по исследованию Group-IB, компании, занимающейся кибербезопасностью, группировка представила новые варианты вредоносного ПО и расширила сферу своей деятельности, включив в нее приложения для видеоконференций.

В 2024 году Lazarus расширил свои атаки с помощью кампании «Заразное интервью», обманывая соискателей, заставляя их загружать вредоносное ПО, замаскированное под задачи, связанные с работой. Теперь схема включает в себя поддельное приложение для видеоконференций под названием «FCCCall», которое имитирует настоящее программное обеспечение и устанавливает вредоносное ПО BeaverTail, которое затем развертывает бэкдор на основе Python «InvisibleFerret».

«Основная функциональность BeaverTail остается неизменной: он извлекает учетные данные из браузеров и данные из расширения браузера криптовалютных кошельков».

Группа-IB

Вам также может понравиться: Хакеры Lazarus Group запускают новый метод кибератак

Исследователи Group-IB также выявили новый набор скриптов Python, названный «CivetQ», как часть развивающегося инструментария Lazarus. Тактика группы теперь включает использование Telegram для эксфильтрации данных и расширение своего охвата на игровые репозитории, троянизацию проектов на основе Node.js для распространения своего вредоносного ПО.

«После установления первоначального контакта они часто пытались перевести разговор в Telegram, где они [хакеры] затем просили потенциальных интервьюируемых загрузить приложение для видеоконференций или проект Node.js, чтобы выполнить техническую задачу в рамках процесса собеседования».

Группа-IB

Аналитики Group-IB подчеркивают, что последняя кампания Lazarus подчеркивает их растущее внимание к расширениям браузеров для криптовалютных кошельков, добавляя, что злоумышленники теперь нацелены на растущий список приложений, включая MetaMask, Coinbase, BNB Chain Wallet, TON Wallet и Exodus Web3 и другие.

Группа также разработала более сложные методы сокрытия своего вредоносного кода, что усложняет его обнаружение.

Эскалация отражает более широкие тенденции, отмеченные ФБР, которое недавно предупредило, что северокорейские киберпреступники нацелены на сотрудников в секторах децентрализованных финансов и криптовалют с помощью узкоспециализированных кампаний социальной инженерии. По данным ФБР, эти сложные тактики разработаны для проникновения даже в самые защищенные системы, представляя постоянную угрозу для организаций со значительными криптоактивами.

Подробнее: Lazarus Group предположительно перевела украденные средства в размере 308 млн долларов США от взлома DMM Bitcoin