Согласно отчету Elastic Security Labs от 31 октября, Lazarus Group использовала новую форму вредоносного ПО в попытке взломать биржу криптовалют.
Компания Elastic назвала новое вредоносное ПО «KANDYKORN», а программу-загрузчик, загружающую его в память, — «SUGARLOAD», поскольку в названии файла-загрузчика имеется новое расширение «.sld». Elastic не назвала биржу, на которую была нацелена атака.
В 2023 году криптовалютные биржи подверглись череде взломов закрытых ключей, большинство из которых были связаны с северокорейским киберпреступным предприятием Lazarus Group.
По данным Elastic, атака началась, когда участники Lazarus выдавали себя за инженеров блокчейна и нацелились на инженеров неназванной криптовалютной биржи. Злоумышленники связались с Discord, заявив, что они разработали прибыльного арбитражного бота, который может получать прибыль от расхождений между ценами криптовалют на разных биржах.
Злоумышленники убедили инженеров загрузить этого «бота». Файлы в ZIP-папке программы имели замаскированные имена, такие как «config.py» и «pricetable.py», что делало программу похожей на арбитражного бота.
После того, как инженеры запустили программу, она выполнила файл «Main.py», который запускал некоторые обычные программы, а также вредоносный файл под названием «Watcher.py». Watcher.py установил соединение с удаленной учетной записью Google Диска и начал загружать контент из нее в другой файл с именем testSpeed.py. Затем вредоносная программа один раз запустила testSpeed.py, а затем удалила его, чтобы замести следы.
Во время однократного выполнения testSpeed.py программа загрузила больше контента и в конечном итоге выполнила файл, который Elastic называет «SUGARLOADER». По словам Elastic, этот файл был замаскирован с помощью «двоичного упаковщика», что позволило ему обойти большинство программ обнаружения вредоносных программ. Однако им удалось обнаружить это, заставив программу остановиться после вызова ее функций инициализации, а затем сделав снимок виртуальной памяти процесса.
По данным Elastic, они запустили обнаружение вредоносного ПО VirusTotal на SUGARLOADER, и детектор заявил, что файл не является вредоносным.
По теме: криптовалютные компании, будьте осторожны: новое вредоносное ПО Lazarus теперь может обходить обнаружение
Как только SUGARLOADER был загружен на компьютер, он подключился к удаленному серверу и загрузил KANDYKORN прямо в память устройства. KANDYKORN содержит множество функций, которые удаленный сервер может использовать для выполнения различных вредоносных действий. Например, команду «0xD3» можно использовать для вывода списка содержимого каталога на компьютере жертвы, а команду «resp_file_down» можно использовать для передачи любого файла жертвы на компьютер злоумышленника.
Elastic полагает, что атака произошла в апреле 2023 года. Он утверждает, что программа, вероятно, все еще используется для проведения атак сегодня, заявляя:
«Эта угроза все еще активна, а инструменты и методы постоянно развиваются».
В 2023 году централизованные криптовалютные биржи и приложения подверглись череде атак. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие стали жертвами этих атак, большинство из которых, похоже, заключались в краже злоумышленником закрытого ключа с устройства жертвы ииспользуя его для перевода криптовалюты клиентов на адрес злоумышленника.
Федеральное бюро расследований США (ФБР) обвинило Lazarus Group в причастности ко взлому Coinex, а также в проведении атаки Stake и других.
В 2024 году безопасность децентрализованных финансов (DeFi) понесла на 40% меньше финансовых потерь, чем в…
Недавнее ценовое движение Биткоин было отмечено коррекцией с исторического максимума в 108 135 долларов, достигнутого…
Опрос, проведенный торговой платформой eToro, показал, что многие розничные инвесторы из Объединенных Арабских Эмиратов планируют…
Криптовалютные хакеры превзошли достижения прошлого года, похитив из экосистемы Web3 более 2,3 миллиарда долларов —…
Майнинг криптовалюты и операции искусственного интеллекта поднимают спрос на электроэнергию до новых максимумов по всей…
Правительство России утвердило список регионов и территорий, где майнинг криптовалют будет запрещен со следующего года.Майнинг…