Atacuri la criptomonede! AppleJeus, noua amenințare detectată de Kaspersky

Joi, 09 Ianuarie 2020
338
Echipa globală de cercetare și analiză Kaspersky (GReAT) a descoperit, recent, noua operațiune AppleJeus, ce are în spate unul dintre cei mai activi și prolifici atacatori APT (Amenințare persistentă și avansată), Lazarus, transmite Agerpres.

"Noua operațiune AppleJeus demonstrează că, în ciuda stagnării semnificative pe piețele de criptomonede, Lazarus continuă să investească în atacuri legate de criptomonede, făcându-le mai complexe. Alte schimbări și diversificarea malware-ului lor demonstrează că nu există niciun motiv să credem că aceste atacuri nu vor crește ca număr, devenind o amenințare mai gravă", explică Seongsu Park, cercetător în securitate în cadrul Kaspersky.

Conform analizelor efectuate de experți, operațiunea AppleJeus continuă cu pași mai atenți, cu tactici și proceduri îmbunătățite și cu utilizarea Telegram drept unul dintre noii săi vectori de atac. Până la momentul actual, operațiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia și China, dintre care unele au legătură cu entități de business din domeniul criptomonedelor.

După ce în 2018, în timpul operațiunii inițiale AppleJeus, atacatorul a creat o companie falsă de criptomonede pentru a-și livra aplicația și a beneficia de un capital ridicat de încredere în rândul potențialelor victime, recent au fost identificate modificări semnificative ale tacticii de atac a grupului în operațiunea următoare. Astfel, vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătățiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau linkuri către false canale Telegram de companie și livrau malware prin messenger, susțin specialiștii Kaspersky.

"La fel ca în operațiunea inițială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicație, iar downloader-ul asociat prelua următorul payload de pe un server de la distanță, permițând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată, însă, programul a fost livrat cu atenție pentru a se sustrage soluțiilor de detecție bazate pe comportament. În atacurile împotriva țintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader și a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fișiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operațiune AppleJeus) și au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat", explică experții.

Potrivit sursei citate, Lazarus a făcut, totodată, modificări semnificative în malware-ul pentru macOS și a extins numărul de versiuni.

"Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operațiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluții arată că atacatorul va continua să creeze versiuni ale malware-ului macOS și cea mai recentă detecție a noastră a fost un rezultat intermediar al acestor modificări", se notează în analiza de specialitate.

Grupul Lazarus, cunoscut pentru operațiunile sale complexe și legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj și sabotaj cibernetic, ci și prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor și a altor companii financiare de către grup.

Reprezentanții Kaspersky recomandă companiilor din domeniul criptomonedelor să aplice o serie de măsuri de protecție, printre care: pregătire de bază pentru toți angajații în ceea ce privește securitatea, astfel încât aceștia să poată distinge mai bine încercările de phishing, evaluarea securității aplicației și monitorizarea vulnerabilităților emergente în domeniu.

De asemenea, pentru utilizatorii care explorează deja criptomonedele sau intenționează să facă acest lucru, Kaspersky recomandă următoarele: utilizarea numai de platforme de criptomonede care au dovedit că sunt de încredere, neaccesarea linkurilor care atrag către o bancă online sau un portofel web, utilizarea unei soluții de securitate fiabilă pentru o protecție completă împotriva unei game largi de amenințări.

Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală a Bangladesh-ului, în urmă cu patru ani, atacul Lazarus se prezintă ca un malware care a făcut "carieră" prin atacurile îndreptate către instituții financiare, cazinouri, companii care operează cu criptomonede și dezvoltatori de software pentru companii de investiții.

Atacul de amploare al Lazarus a avut loc în luna februarie 2016, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulțumească cu puțin peste 10% din total.

Kaspersky este o companie de securitate IT care oferă soluții de securitate în domeniu. Peste 400 de milioane de utilizatori individuali sunt protejați de tehnologiile Kaspersky, precum și 270.000 de companii.


Articole pe aceeasi tema

Pagina a fost generata in 0.2172 secunde