Podľa nových zistení výskumníkov spoločnosti Kaspersky Lab pokračovali severokórejskí hackeri zo skupiny Lazarus v kradnutí kryptomien aj v roku 2019. Experti neočakávajú, že krádeže prestanú tak skoro.
Pomocou nových podvrhnutých programov na obchodovanie s digitálnymi menami útočili najmä na používateľov z Veľkej Británie, Poľska, Ruska a Číny. Útočníci si ako základ pre nové nástroje vzali staršie infikované verzie programov z operácie AppleJeus z roku 2018. Vyvinuli ich na báze programu s otvoreným kódom QtBitcoinTrader od spoločnosti Centrabit. Prvým z nich je UnionCryptoTrader určený pre operačné systémy macOS a Windows. Skupina ho distribuovala pomocou komunikačnej aplikácie Telegram. Hoci sa tváril ako neškodná aplikácia, ktorá mimo iné porovnávala cenu kryptomien na burzách, potajomky zbierala informácie o infikovanom systéme, na základe ktorých následne prispôsobila svoj payload.
Pre systémy od Microsoftu si hackeri pripravili aj podvrhnutú aktualizáciu peňaženky WFC, ktorú si obete stiahli z nastraženej webstránky. V tomto prípade program po spustení umožnil útočníkovi vytvoriť pomocou služby Remote Access Connection Manager záznam malvéru v registroch, čím zaručil jeho pretrvanie v systéme. Lazarus používa podobné techniky a malvéry už dlhšiu dobu. V najnovšej sérii útokov však vylepšili svoje nástroje, ktorým pridali overovacie mechanizmy či antidetekčné riešenia. „Odkedy sme prvýkrát objavili operáciu AppleJeus vidíme, že postupom času autori značne zmenili svoj modus operandi. Predpokladáme, že tento druh útoku proti obchodovaniu s kryptomenami bude pokračovať a bude stále viac sofistikovanejší.“
Zdroj: Cybersec