Северокорейская хакерская группировка Lazarus, с которой связывают множество кибератак в последние годы, в том числе на пользователей криптовалют и биржи, снова даёт о себе знать, сообщают эксперты «Лаборатории Касперского».
В этот раз злоумышленники существенно изменили методологию атак, однако основной областью их интереса по-прежнему являются криптовалюты. Они зарегистрировали несуществующую компанию, чтобы поставлять вредоносные файлы пользователям macOS, и добавили механизм аутентификации, который позволяет осторожно передавать данные на следующем этапе, а также научились производить загрузку в памяти без обращения к диску устройства. Кроме того, значительным переработкам подверглись загрузчики данных для Windows.
Одним из примеров такого зловреда является программа UnionCryptoTrader, которая поставляется как торговая платформа для «умного» криптовалютного арбитража, но в действительности ворует конфиденциальные данные пользователей.
Изображение: Securelist.com
Аналитики отмечают, что для распространения своего вредоносного ПО хакеры всё чаще прибегают к помощи мессенджера Telegram, излюбленного средства общения криптовалютных трейдеров. Было обнаружено несколько фейковых сайтов ICO и торговых платформ, содержавших ссылки на группы злоумышленников в Telegram.
Изображение: Securelist.com
Изображение: Securelist.com
Среди жертв атаки, получившей название «Operation AppleJeus Sequel» как продолжение «Operation AppleJeus» 2018 года, «Лаборатория Касперского» выделяет жителей Великобритании, Польши, России и Китая.
Изображение: Securelist.com
«Мы можем наблюдать, что с момента первичного появления “Operation AppleJeus” авторы существенно изменили свой почерк. Мы предполагаем, что подобные типы атак на криптовалютный бизнес продолжатся и будут становиться всё более продуманными», – добавляют аналитики.
Ранее в ООН заявили, что Северная Корея выручила около $2 млрд от взломов бирж криптовалют и банков в целях финансирования своей ядерной программы.
