Ένα εξελιγμένο malware με την ονομασία “Tsunami” έχει αναδυθεί ως ενεργή απειλή, στοχεύοντας χρήστες μέσω μιας πολύπλοκης αλυσίδας μόλυνσης και αξιοποιώντας ένα ευρύ φάσμα δυνατοτήτων για κλοπή διαπιστευτηρίων και εξόρυξη κρυπτονομισμάτων.
Δείτε επίσης: Το νέο DslogdRAT malware διανέμεται μέσω ευπάθειας στο Ivanti Connect Secure
Ερευνητές ασφαλείας έχουν συνδέσει αυτό το κακόβουλο λογισμικό με την εν εξελίξει εκστρατεία “Contagious Interview“, που σχετίζεται με απειλητικούς παράγοντες από τη Βόρεια Κορέα, συγκεκριμένα με την ομάδα Lazarus. Η εκστρατεία, η οποία παρατηρήθηκε για πρώτη φορά το φθινόπωρο του 2024, επικεντρώνεται κυρίως στην κλοπή κρυπτονομισμάτων σε περιβάλλοντα ανάπτυξης λογισμικού. Η επίθεση ξεκινά με την αρχική πρόσβαση μέσω της αλυσιδωτής φόρτωσης ενός κακόβουλου φορτίου BeaverTail από έναν εξωτερικό τομέα, “api.npoint.io”, μέσω ενός παραβιασμένου ιδιωτικού αποθετηρίου GitHub.
Μόλις εκτελεστεί, ο φορτωτής ενεργοποιεί το ήδη καταγεγραμμένο κακόβουλο λογισμικό InvisibleFerret ως ενδιάμεσο στάδιο στην αλυσίδα μόλυνσης. Αυτή η εξελιγμένη προσέγγιση social engineering στοχεύει θύματα μέσω του LinkedIn, όπου οι επιτιθέμενοι παρουσιάζονται ως πιθανοί επιχειρηματικοί συνεργάτες, προκειμένου να παραπλανήσουν τα θύματα ώστε να εκτελέσουν κώδικα με ενσωματωμένo backdoor.
Οι ερευνητές της HiSolutions εντόπισαν το Tsunami malware κατά τη διάρκεια έρευνας για περιστατικά κλοπής κρυπτονομισμάτων. Η ανάλυσή τους αποκάλυψε ότι το κακόβουλο λογισμικό βασίζεται τόσο στο δίκτυο TOR όσο και στο Pastebin για λειτουργίες εντολών και ελέγχου (C2), γεγονός που δείχνει την προσπάθεια των κυβερνοεγκληματιών να διατηρήσουν την επιχειρησιακή ασφάλεια, ενώ παράλληλα αναπτύσσουν νέα εργαλεία.
Δείτε ακόμα: Οι hackers Lotus Panda στόχευσαν ασιατικούς οργανισμούς με malware
Το Tsunami malware χρησιμοποιεί μια αρθρωτή δομή με πάνω από 25 διαφορετικά εξαρτήματα, συμπεριλαμβανομένων διαφόρων εργαλείων για την κλοπή διαπιστευτηρίων από προγράμματα περιήγησης όπως τα Chrome, Firefox, Brave, Edge και OperaGX. Επιπλέον, ενσωματώνει δυνατότητες παραβίασης πορτοφολιών κρυπτονομισμάτων, με στόχο κυρίως τα πορτοφόλια Exodus και Ethereum.
Δύο ξεχωριστά προγράμματα εξόρυξης κρυπτονομισμάτων — ένα για Monero και ένα για Ethereum — εγκαθίστανται στα παραβιασμένα συστήματα με σκοπό την οικονομική εκμετάλλευσή τους, όπως προκύπτει από αρχεία ρυθμίσεων που ανακτήθηκαν κατά την ανάλυση.
Σύμφωνα με την έρευνα, η ανάπτυξη του κακόβουλου λογισμικού φαίνεται να βρίσκεται σε εξέλιξη, με ορισμένες μονάδες, όπως η λειτουργία botnet, να βρίσκονται ακόμα σε αρχικά στάδια υλοποίησης, γεγονός που υποδηλώνει ότι οι επιτιθέμενοι συνεχίζουν να ενισχύουν τις δυνατότητές τους.
Δείτε επίσης: Νέο XorDDoS malware επιτρέπει δημιουργία DDoS botnet
Βάσει των παραπάνω, είναι φανερό ότι το Tsunami malware αποτελεί ένα ιδιαίτερα στοχευμένο και εξελισσόμενο εργαλείο κυβερνοεπιθέσεων, με κύριο στόχο την οικονομική εκμετάλλευση μέσω κλοπής κρυπτονομισμάτων και παραβίασης συστημάτων ανάπτυξης λογισμικού. Η χρήση τεχνικών social engineering, όπως μέσω του LinkedIn, δείχνει πόσο στοχευμένες είναι αυτές οι επιθέσεις, ενώ η αξιοποίηση του δικτύου TOR και υπηρεσιών όπως το Pastebin υπογραμμίζει την προσπάθεια των δραστών να καλύψουν τα ίχνη τους.
Πηγή: cybersecuritynews
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/647075/tsunami-malware-ddiathetei-miners-credential-stealers/&media=https://cdnglobal.secnews.gr/wp-content/uploads/2025/04/29165819/Tsunami-Malware.jpg&description=Ένα εξελιγμένο malware με την ονομασία "Tsunami" έχει αναδυθεί ως ενεργή απειλή, στοχεύοντας χρήστες μέσω μιας πολύπλοκης αλυσίδας μόλυνσης.){kind=link}