Северокорейский хакерский коллектив Lazarus Group снова взялся за дело, нацеливаясь на инженеров блокчейна с помощью продвинутой фильтрации данных и троянов, которые могут удаленно выполнять код.
В отчете исследователей Elastic Security зафиксирована новая атака, исходящая от Discord и нацеленная на криптовалютное сообщество. Используя простую стратегию социальной инженерии, злоумышленники пытаются убедить жертву загрузить файл под названием «Cross-platform Bridges.zip», полагая, что это арбитражный бот.
Арбитражные боты обычно представляют собой законные фрагменты кода, которые позволяют пользователям автоматизировать покупку криптовалюты на одной бирже и продажу ее на другой бирже, где цена немного отличается. Изменения цен незначительны, но благодаря автоматизации и большим усилиям по запуску некоторые люди утверждают, что боты работают хорошо. Обычно ботов можно купить за десятки тысяч долларов.
Но очевидно, что жертвы не получат бота. Вместо этого они получили вредоносное ПО KandyKorn, которое разработано для macOS и может делать ряд вещей, включая сбор системной информации, просмотр содержимого каталогов, загрузку и выполнение файлов на конечной точке жертвы, удаление файлов и завершение процессов, кражу файлов и т. д. и т. д.
Вредоносное ПО было разработано пресловутой Lazarus Group, утверждают исследователи, основывая свои утверждения на совпадениях кода и кампании с предыдущими инцидентами, приписываемыми северокорейцам.
Lazarus — известная группа, имеющая тесные связи с правительством Северной Кореи. Говорят, что он стоял за некоторыми из крупнейших крипто-ограблений в истории, включая атаку на мост Ронина, в результате которой протокол потерял около 600 миллионов долларов. Украденные деньги используются для финансирования правительства Северной Кореи и ее ядерной программы, утверждают западные спецслужбы.
Эта группа также известна тем, что выполняет фиктивные задания и обманом заставляет разработчиков загружать вредоносное ПО во время процесса найма.
Над ПипКомпьютер
Больше от TechRadar Pro
