Lazarus Group усиливает кибератаку на рынок криптовалют, внедряя сложное вредоносное ПО через поддельные видеоприложения и расширяя свое влияние на расширения браузеров.
Печально известная северокорейская хакерская группировка Lazarus Group, известная своими сложными киберкампаниями против криптоиндустрии, наращивает усилия по атакам на профессионалов и разработчиков криптоиндустрии. Согласно недавнему отчету по исследованию Group-IB, компании, занимающейся кибербезопасностью, группировка представила новые варианты вредоносного ПО и расширила сферу своей деятельности, включив в нее приложения для видеоконференций.
В 2024 году Lazarus расширил свои атаки с помощью кампании «Заразное интервью», обманывая соискателей, заставляя их загружать вредоносное ПО, замаскированное под задачи, связанные с работой. Теперь схема включает в себя поддельное приложение для видеоконференций под названием «FCCCall», которое имитирует настоящее программное обеспечение и устанавливает вредоносное ПО BeaverTail, которое затем развертывает бэкдор на основе Python «InvisibleFerret».
«Основная функциональность BeaverTail остается неизменной: он извлекает учетные данные из браузеров и данные из расширения браузера криптовалютных кошельков».
Группа-IB
Вам также может понравиться: Хакеры Lazarus Group запускают новый метод кибератак
Исследователи Group-IB также выявили новый набор скриптов Python, названный «CivetQ», как часть развивающегося инструментария Lazarus. Тактика группы теперь включает использование Telegram для эксфильтрации данных и расширение своего охвата на игровые репозитории, троянизацию проектов на основе Node.js для распространения своего вредоносного ПО.
«После установления первоначального контакта они часто пытались перевести разговор в Telegram, где они [хакеры] затем просили потенциальных интервьюируемых загрузить приложение для видеоконференций или проект Node.js, чтобы выполнить техническую задачу в рамках процесса собеседования».
Группа-IB
Аналитики Group-IB подчеркивают, что последняя кампания Lazarus подчеркивает их растущее внимание к расширениям браузеров для криптовалютных кошельков, добавляя, что злоумышленники теперь нацелены на растущий список приложений, включая MetaMask, Coinbase, BNB Chain Wallet, TON Wallet и Exodus Web3 и другие.
Группа также разработала более сложные методы сокрытия своего вредоносного кода, что усложняет его обнаружение.
Эскалация отражает более широкие тенденции, отмеченные ФБР, которое недавно предупредило, что северокорейские киберпреступники нацелены на сотрудников в секторах децентрализованных финансов и криптовалют с помощью узкоспециализированных кампаний социальной инженерии. По данным ФБР, эти сложные тактики разработаны для проникновения даже в самые защищенные системы, представляя постоянную угрозу для организаций со значительными криптоактивами.
Подробнее: Lazarus Group предположительно перевела украденные средства в размере 308 млн долларов США от взлома DMM Bitcoin