Il gruppo Lazarus, un'organizzazione di hacking nordcoreana precedentemente collegata ad attività criminali, è stata collegata a un nuovo schema di attacco per violare i sistemi e rubare criptovaluta da terze parti. La campagna, che utilizza una versione modificata di un prodotto malware già esistente chiamato Applejeus, utilizza un sito crittografico e persino documenti per ottenere l'accesso ai sistemi.
Il malware Lazarus modificato utilizzava il sito crittografico come facciata
Volexity, una società di sicurezza informatica con sede a Washington DC, ha collegato Lazarus, un gruppo di hacker nordcoreano già sanzionato dal governo degli Stati Uniti, con una minaccia che prevede l'uso di un sito crittografico per infettare i sistemi al fine di rubare informazioni e criptovaluta da terze parti.
Un post sul blog rilasciato il 1 dicembre ha rivelato che a giugno Lazarus ha registrato un dominio chiamato "bloxholder.com", che sarebbe stato successivamente istituito come un'azienda che offre servizi di trading automatico di criptovalute. Usando questo sito come facciata, Lazarus ha spinto gli utenti a scaricare un'applicazione che fungeva da payload per consegnare il malware Applejeus, diretto a rubare chiavi private e altri dati dai sistemi degli utenti.
La stessa strategia è stata usata da Lazarus prima. Tuttavia, questo nuovo schema utilizza una tecnica che consente all'applicazione di "confondere e rallentare" le attività di rilevamento del malware.
Macro documento
Volexity ha anche scoperto che la tecnica per consegnare questo malware agli utenti finali è cambiata in ottobre. Il metodo si è trasformato per utilizzare i documenti di Office, in particolare un foglio di calcolo contenente macro, una sorta di programma incorporato nei documenti progettato per installare il malware Applejeus nel computer.
Il documento, identificato con il nome "OKX Binance & Huobi VIP fee comparision.xls", mostra i vantaggi che ciascuno dei programmi VIP di questi scambi presumibilmente offre ai diversi livelli. Per mitigare questo tipo di attacco, si consiglia di bloccare l'esecuzione di macro nei documenti e anche di esaminare e monitorare la creazione di nuove attività nel sistema operativo per essere a conoscenza di nuove attività non identificate in esecuzione in background. Tuttavia, Veloxity non ha comunicato il livello di portata raggiunto da questa campagna.
Lazarus era formalmente incriminato dal Dipartimento di Giustizia degli Stati Uniti (DOJ) nel febbraio 2021, coinvolgendo un agente del gruppo legato a un'organizzazione di intelligence nordcoreana, il Reconnaissance General Bureau (RGB). Prima di allora, nel marzo 2020, il DOJ incriminato due cittadini cinesi per aver contribuito al riciclaggio di oltre 100 milioni di dollari in criptovalute legate agli exploit di Lazarus.
Cosa ne pensi dell'ultima campagna di malware di criptovaluta di Lazarus? Raccontacelo nella sezione commenti qui sotto.
Crediti Image:Shutterstock, Pixabay, Wiki Commons
Negazione di responsabilità: Questo articolo è solo a scopo informativo. Non è un'offerta diretta o una sollecitazione di un'offerta di acquisto o vendita, né una raccomandazione o avallo di prodotti, servizi o società. Bitcoin.com non fornisce consulenza di investimento, fiscale, legale o contabile. Né la società né l'autore sono responsabili, direttamente o indirettamente, per eventuali danni o perdite causati o presunti causati da o in connessione con l'uso o la dipendenza da qualsiasi contenuto, beni o servizi menzionati in questo articolo.
Fonte: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/