Click Accept pentru a primi notificări cu cele mai importante știri!
Echipa globală de cercetare şi analiză Kaspersky (GReAT) a descoperit, recent, noua operaţiune AppleJeus, ce are în spate unul dintre cei mai activi şi prolifici atacatori APT (Ameninţare persistentă şi avansată), Lazarus.
"Noua operaţiune AppleJeus demonstrează că, în ciuda stagnării semnificative pe pieţele de criptomonede, Lazarus continuă să investească în atacuri legate de criptomonede, făcându-le mai complexe. Alte schimbări şi diversificarea malware-ului lor demonstrează că nu există niciun motiv să credem că aceste atacuri nu vor creşte ca număr, devenind o ameninţare mai gravă", explică Seongsu Park, cercetător în securitate în cadrul Kaspersky.
Conform analizelor efectuate de experţi, operaţiunea AppleJeus continuă cu paşi mai atenţi, cu tactici şi proceduri îmbunătăţite şi cu utilizarea Telegram drept unul dintre noii săi vectori de atac.
Până la momentul actual, operaţiunea a afectat mai multe victime din Marea Britanie, Polonia, Rusia şi China, dintre care unele au legătură cu entităţi de business din domeniul criptomonedelor.
După ce în 2018, în timpul operaţiunii iniţiale AppleJeus, atacatorul a creat o companie falsă de criptomonede pentru a-şi livra aplicaţia şi a beneficia de un capital ridicat de încredere în rândul potenţialelor victime, recent au fost identificate modificări semnificative ale tacticii de atac a grupului în operaţiunea următoare.
Astfel, vectorul de atac din 2019 l-a copiat pe cel din anul precedent, dar cu unele îmbunătăţiri. De această dată, Lazarus a creat site-uri false legate de criptomonede, care găzduiau linkuri către false canale Telegram de companie şi livrau malware prin messenger, susţin specialiştii Kaspersky.
"La fel ca în operaţiunea iniţială AppleJeus, atacul a constat în două faze. Utilizatorii descărcau mai întâi o aplicaţie, iar downloader-ul asociat prelua următorul payload de pe un server de la distanţă, permiţând în final atacatorului să controleze în totalitate dispozitivul infectat cu un backdoor permanent. De această dată, însă, programul a fost livrat cu atenţie pentru a se sustrage soluţiilor de detecţie bazate pe comportament. În atacurile împotriva ţintelor care utilizau macOS, a fost adăugat un mecanism de autentificare pentru downloader şi a fost modificată structura de dezvoltare, fiind adoptată de această dată o tehnică de infectare fără fişiere. Când au vizat utilizatorii de Windows, atacatorii au evitat malware-ul Fallchill (care a fost folosit în prima operaţiune AppleJeus) şi au creat un malware care a rulat doar pe anumite sisteme, după ce le-au verificat pe baza unui set de valori date. Aceste schimbări arată că grupul a devenit mai atent în atacurile sale, folosind noi metode pentru a evita să fie detectat", explică experţii.
Potrivit sursei citate, Lazarus a făcut, totodată, modificări semnificative în malware-ul pentru macOS şi a extins numărul de versiuni.
"Spre deosebire de atacul anterior, în timpul căruia Lazarus a folosit QtBitcoinTrader pentru a construi un installer de macOS, în timpul celei de-a doua operaţiuni AppleJeus atacatorul a început să folosească codul lor dezvoltat intern, pentru a construi un installer infectat. Aceste evoluţii arată că atacatorul va continua să creeze versiuni ale malware-ului macOS şi cea mai recentă detecţie a noastră a fost un rezultat intermediar al acestor modificări", se notează în analiza de specialitate.
Grupul Lazarus, cunoscut pentru operaţiunile sale complexe şi legăturile cu Coreea de Nord, se remarcă nu numai prin atacurile sale de spionaj şi sabotaj cibernetic, ci şi prin cele motivate financiar. O serie de cercetători, inclusiv cei de la Kaspersky, au raportat anterior despre vizarea băncilor şi a altor companii financiare de către grup.
Reprezentanţii Kaspersky recomandă companiilor din domeniul criptomonedelor să aplice o serie de măsuri de protecţie, printre care: pregătire de bază pentru toţi angajaţii în ceea ce priveşte securitatea, astfel încât aceştia să poată distinge mai bine încercările de phishing, evaluarea securităţii aplicaţiei şi monitorizarea vulnerabilităţilor emergente în domeniu.
De asemenea, pentru utilizatorii care explorează deja criptomonedele sau intenţionează să facă acest lucru, Kaspersky recomandă următoarele: utilizarea numai de platforme de criptomonede care au dovedit că sunt de încredere, neaccesarea linkurilor care atrag către o bancă online sau un portofel web, utilizarea unei soluţii de securitate fiabilă pentru o protecţie completă împotriva unei game largi de ameninţări.
Celebru pentru furtul a 81 de milioane de dolari din Banca Centrală a Bangladesh-ului, în urmă cu patru ani, atacul Lazarus se prezintă ca un malware care a făcut "carieră" prin atacurile îndreptate către instituţii financiare, cazinouri, companii care operează cu criptomonede şi dezvoltatori de software pentru companii de investiţii.
Atacul de amploare al Lazarus a avut loc în luna februarie 2016, iar grupul necunoscut la acea vreme a încercat să sustragă de fapt 851 de milioane de dolari, însă în cele din urmă a trebuit să se mulţumească cu puţin peste 10% din total.
Kaspersky este o companie de securitate IT care oferă soluţii de securitate în domeniu. Peste 400 de milioane de utilizatori individuali sunt protejaţi de tehnologiile Kaspersky, precum şi 270.000 de companii.
