Η CISA, το FBI και το Υπουργείο Οικονομικών των ΗΠΑ προειδοποίησαν σήμερα ότι η βορειοκορεατική ομάδα hacking Lazarus – αυτή η ομάδα παρακολουθείται συνήθως από τη βιομηχανία της κυβερνοασφάλειας ως Lazarus Group, APT38, BlueNoroff και Stardust Chollima – στοχεύει οργανισμούς στις βιομηχανίες cryptocurrency και blockchain με trojanized cryptocurrency apps.
Δείτε επίσης: Κυκλοφόρησε δωρεάν decryptor για θύματα του ransomware Yanluowang
Οι εισβολείς χρησιμοποιούν το social engineering για να ξεγελάσουν τους υπαλλήλους εταιρειών cryptocurrency ώστε να κατεβάσουν και να εκτελέσουν κακόβουλα cryptocurrency apps Windows και macOS.
Δείτε επίσης: Fake αναβάθμιση των Windows 11 εγκαθιστά κακόβουλο λογισμικό
Στη συνέχεια, οι χειριστές Lazarus χρησιμοποιούν αυτά τα trojanized εργαλεία για να αποκτήσουν πρόσβαση στους υπολογιστές των στόχων, να διαδώσουν malware σε όλα τα δίκτυά τους και να κλέψουν ιδιωτικά κλειδιά που επιτρέπουν την έναρξη δόλιων συναλλαγών blockchain και την κλοπή των crypto assets των θυμάτων από τα πορτοφόλια τους.
“Οι εισβολές ξεκινούν με έναν μεγάλο αριθμό μηνυμάτων spearphishing που αποστέλλονται σε υπαλλήλους εταιρειών cryptocurrency – που συχνά εργάζονται στη διαχείριση συστήματος ή στην ανάπτυξη development/IT λειτουργίες (DevOps) – σε διάφορες πλατφόρμες επικοινωνίας”, αναφέρει ένα joint advisory που δημοσιεύθηκε τη Δευτέρα.
«Τα μηνύματα μιμούνται συχνά μια προσπάθεια πρόσληψης και προσφέρουν θέσεις εργασίας με υψηλή αμοιβή για να δελεάσουν τους παραλήπτες να κατεβάσουν εφαρμογές cryptocurrency που συνδέονται με malware, τις οποίες η κυβέρνηση των ΗΠΑ αναφέρει ως TraderTraitor».
Οι trojanized εφαρμογές TraderTraitor είναι βοηθητικά προγράμματα που βασίζονται σε Electron και σε cross-platform που αναπτύχθηκαν χρησιμοποιώντας JavaScript και το περιβάλλον χρόνου εκτέλεσης Node.js.
Οι εφαρμογές TraderTraitor προωθούνται σχεδόν πάντα μέσω ιστότοπων που διαθέτουν μοντέρνο σχεδιασμό που διαφημίζουν τα υποτιθέμενα χαρακτηριστικά των ψεύτικων crypto apps.
“Τα παρατηρούμενα payloads περιλαμβάνουν ενημερωμένες παραλλαγές macOS και Windows του Manuscrypt, ενός προσαρμοσμένου remote access trojan (RAT), που συλλέγει πληροφορίες συστήματος και έχει τη δυνατότητα να εκτελεί αυθαίρετες εντολές και να κατεβάζει επιπλέον payloads”, πρόσθεσαν οι ομοσπονδιακές υπηρεσίες.
Δείτε επίσης: iPhone: Exploit μηδενικού κλικ χρησιμοποιείται σε επιθέσεις spyware NSO
Μεταξύ των κακόβουλων cryptocurrency apps TraderTraitor που χρησιμοποιούνται σε αυτές τις καμπάνιες, το κοινό advisory επισημαίνει:
- DAFOM: μια “εφαρμογή cryptocurrency portfolio” (macOS)
- TokenAIS: ισχυρίζεται ότι βοηθά στη «οικοδόμηση ενός χαρτοφυλακίου συναλλαγών που βασίζεται σε AI» για cryptocurrencies (macOS)
- CryptAIS: ισχυρίζεται ότι βοηθά στη “δημιουργία ενός χαρτοφυλακίου συναλλαγών που βασίζεται σε AI” (macOS)
- AlticGO: ισχυρίζεται ότι προσφέρει live τιμές κρυπτονομισμάτων και προβλέψεις τιμών (Windows)
- Esilet: ισχυρίζεται ότι προσφέρει live τιμές κρυπτονομισμάτων και προβλέψεις τιμών (macOS)
- CreAI Deck: ισχυρίζεται ότι είναι μια πλατφόρμα για «τεχνητή νοημοσύνη και deep learning» (Windows και macOS)
Πέρυσι, το FBI, η CISA και το Υπουργείο Οικονομικών των ΗΠΑ κοινοποιήσαν πληροφορίες σχετικά με κακόβουλες και ψεύτικες εφαρμογές crypto-trading με έγχυση AppleJeus malware που χρησιμοποιούσε η ομάδα Lazarus για την κλοπή κρυπτονομισμάτων από ιδιώτες και εταιρείες σε όλο τον κόσμο.
Ο κατάλογος των εφαρμογών που έχουν γίνει trojanized χρησιμοποιώντας το AppleJeus περιλαμβάνει τις Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio και Ants2Whale.
Το Υπουργείο Δικαιοσύνης των ΗΠΑ κατηγόρησε τρία μέλη του Lazarus Group για κλοπή 1,3 δισεκατομμυρίων δολαρίων σε χρήματα και cryptocurrency σε πολλαπλές επιθέσεις εναντίον τραπεζών, της βιομηχανίας ψυχαγωγίας, εταιρειών cryptocurrency και άλλων οργανισμών παγκοσμίως.
Το 2019, μια εμπιστευτική έκθεση των Ηνωμένων Εθνών ανέφερε ότι οι φορείς εκμετάλλευσης της Βόρειας Κορέας έκλεψαν περίπου 2 δισεκατομμύρια δολάρια σε τουλάχιστον 35 κυβερνοεπιθέσεις σε τράπεζες και crypto exchanges σε περισσότερες από δώδεκα χώρες.
Την ίδια χρονιά, το Υπουργείο Οικονομικών των ΗΠΑ επέβαλε κυρώσεις σε τρεις βορειοκορεατικές ομάδες hacking (Lazarus Group, Bluenoroff και Andariel) για διοχέτευση των χρηματοοικονομικών assets που έκλεψαν σε κυβερνοεπιθέσεις στην κυβέρνηση της Βόρειας Κορέας.
Πηγή πληροφοριών: bleepingcomputer.com
