Le groupe Lazarus, une organisation de piratage nord-coréenne précédemment liée à des activités criminelles, a été connecté à un nouveau schéma d'attaque pour violer les systèmes et voler la crypto-monnaie à des tiers. La campagne, qui utilise une version modifiée d'un produit malveillant déjà existant appelé Applejeus, utilise un site cryptographique et même des documents pour accéder aux systèmes.
Le logiciel malveillant Lazarus modifié a utilisé le site cryptographique comme façade
Volexity, une société de cybersécurité basée à Washington DC, a lié Lazarus, un groupe de piratage nord-coréen déjà sanctionné par le gouvernement américain, à une menace impliquant l'utilisation d'un site cryptographique pour infecter les systèmes afin de voler des informations et de la crypto-monnaie à des tiers.
Un article de blog émis le 1er décembre a révélé qu'en juin, Lazarus avait enregistré un domaine appelé "bloxholder.com", qui serait plus tard établi comme une entreprise offrant des services de trading automatique de crypto-monnaie. Utilisant ce site comme une façade, Lazarus a invité les utilisateurs à télécharger une application qui servait de charge utile pour diffuser le malware Applejeus, dirigé pour voler les clés privées et d'autres données des systèmes des utilisateurs.
La même stratégie a déjà été utilisée par Lazarus. Cependant, ce nouveau schéma utilise une technique qui permet à l'application de « confondre et ralentir » les tâches de détection des logiciels malveillants.
Macros de documents
Volexity a également constaté que la technique de diffusion de ce malware aux utilisateurs finaux avait changé en octobre. La méthode s'est transformée pour utiliser des documents Office, en particulier une feuille de calcul contenant des macros, une sorte de programme intégré dans les documents conçu pour installer le malware Applejeus dans l'ordinateur.
Le document, identifié par le nom "OKX Binance & Huobi VIP fee comparision.xls", affiche les avantages que chacun des programmes VIP de ces échanges est censé offrir à leurs différents niveaux. Pour atténuer ce type d'attaque, il est recommandé de bloquer l'exécution des macros dans les documents, et également d'examiner et de surveiller la création de nouvelles tâches dans le système d'exploitation pour être au courant des nouvelles tâches non identifiées exécutées en arrière-plan. Cependant, Veloxity n'a pas informé du niveau de portée atteint par cette campagne.
Lazare était formellement inculpé par le ministère américain de la Justice (DOJ) en février 2021, impliquant un agent du groupe lié à une organisation de renseignement nord-coréenne, le Reconnaissance General Bureau (RGB). Avant cela, en mars 2020, le DOJ inculpé deux ressortissants chinois pour avoir aidé au blanchiment de plus de 100 millions de dollars en crypto-monnaie liés aux exploits de Lazarus.
Que pensez-vous de la dernière campagne de malware de crypto-monnaie de Lazarus ? Dites-nous dans la section commentaires ci-dessous.
Crédits d'image: Shutterstock, Pixabay, Wiki Commons
Clause de non-responsabilité : Cet article est à titre informatif uniquement. Il ne s'agit pas d'une offre directe ou de la sollicitation d'une offre d'achat ou de vente, ni d'une recommandation ou d'une approbation de produits, services ou sociétés. Bitcoin.com ne fournit pas de conseils d'investissement, fiscaux, juridiques ou comptables. Ni la société ni l'auteur ne sont responsables, directement ou indirectement, de tout dommage ou perte causé ou supposé être causé par ou en relation avec l'utilisation ou la confiance dans les contenus, biens ou services mentionnés dans cet article.
Source : https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/