Группа Lazarus атакует пользователей криптовалют с помощью вредоносных расширений для браузеров
Дата: 2024-09-05 Автор: Oliver Abernathy Категории: В МИРЕ
Северокорейская хакерская группа Lazarus в сентябре 2024 года активизировала свои кибератаки на криптовалютный рынок, внедрив новые виды вредоносного ПО, нацеленные на расширения для браузеров и приложения для видеоконференций, как сообщает в недавнем отчете компания Group-IB, занимающаяся кибербезопасностью.
Отчет описывает, как группа расширила свою деятельность, включив в нее эти платформы, используя все более сложные варианты вредоносного ПО.
Атаки группы Lazarus на расширения для браузеров
В дополнение к кампании «Заразительное интервью», в рамках которой соискателей работы обманывали, заставляя загружать вредоносное ПО под видом заданий, связанных с работой, группа Lazarus теперь расширила свои атаки, включив в них поддельные приложения для видеоконференций.
Эта схема теперь включает поддельное приложение для видеоконференций под названием "FCCCall", которое имитирует законное программное обеспечение.
После установки приложение внедряет вредоносное ПО BeaverTail, которое предназначено для кражи учетных данных из браузеров и данных из криптовалютных кошельков через расширения для браузеров.
Затем оно устанавливает бэкдор на базе Python под названием "InvisibleFerret", что еще больше компрометирует систему жертвы.
Эта последняя кампания подчеркивает их возрастающее внимание к криптовалютным кошелькам, использующим расширения для браузеров, в частности, MetaMask, Coinbase, BNB Chain Wallet, TON Wallet и Exodus Web3.
Аналитики Group-IB отмечают, что теперь группа нацелена на широкий спектр приложений, включая MetaMask и Coinbase.
Используя вредоносный JavaScript, они заманивают жертв на загрузку программного обеспечения под предлогом обзоров или аналитических задач.
Исследователи Group-IB выявили новый набор Python-скриптов, названных "CivetQ", как часть развивающегося инструментария группы.
Эти скрипты указывают на смену тактики, направленной на специалистов по блокчейну через платформы для поиска работы, такие как WWR, Moonlight и Upwork.
После установления первоначального контакта хакеры обычно переводят разговор в Telegram. Там они обманывают жертв, заставляя скачать поддельное приложение для видеоконференций или проект на Node.js, утверждая, что это необходимо для технического собеседования.
Возрастающая угроза группы Lazarus для криптовалют и недавняя эксплуатация уязвимостей Microsoft Windows
Группа Lazarus продолжает оставаться угрозой для криптовалютного сектора, особенно с учетом их недавней эксплуатации уязвимостей Microsoft Windows.
Группа усовершенствовала свои методы, усложнив обнаружение вредоносного ПО, скрывая свой вредоносный код новыми и более изощренными способами.
Эта эскалация отражает более широкие тенденции, отмеченные Федеральным бюро расследований (ФБР), которое недавно предупредило, что северокорейские хакеры нацелены на сотрудников в сфере децентрализованных финансов и криптовалют с помощью высокоспециализированных кампаний социальной инженерии.
Эти кампании направлены на проникновение даже в самые защищенные системы, представляя постоянную угрозу для организаций, обладающих значительными крипто активами.
В связанной разработке группа Lazarus якобы эксплуатировала уязвимость нулевого дня в Microsoft Windows.
Эта уязвимость, отслеживаемая как CVE-2024-38193 (оценка CVSS: 7,8), была выявлена как ошибка повышения привилегий в драйвере вспомогательных функций Windows (AFD.sys) для WinSock.
Два исследователя, Луиджино Камастра и Миланек, обнаружили этот дефект безопасности, который позволял хакерам получить доступ к ограниченным частям компьютерных систем, не будучи обнаруженными.
Microsoft устранила уязвимость в рамках ежемесячного обновления Patch Tuesday в сентябре 2024 года.
Оставьте свой комментарий
Трендовые новости
