Северокорейская хакерская группа модифицирует вредоносное ПО

Хакерская группа Lazarus, которую якобы спонсирует правительство Северной Кореи, внедрила новые вирусы для кражи криптовалюты.

8 января крупная фирма по кибербезопасности Kaspersky сообщила, что Lazarus удвоил свои усилия по заражению компьютеров пользователей Mac и Windows.

Группа использовала модифицированный интерфейс торговли криптовалютой с открытым исходным кодом под названием QtBitcoinTrader для доставки и выполнения вредоносного кода в рамках так называемой «Операции AppleJeus», как сообщал Kaspersky в конце августа 2018 года. Теперь фирма сообщает, что Lazarus начал вносить изменениявредоносному ПО.

Касперский обнаружил новый вирус MacOS и Windows под названием UnionCryptoTrader, основанный на ранее обнаруженных версиях.Еще одно новое вредоносное ПО, предназначенное для пользователей Mac, называется MarkMakingBot.Фирма по кибербезопасности отметила, что Lazarus настраивал MarkMakingBot, и полагает, что это «промежуточная стадия значительных изменений в их вредоносном ПО macOS».

Исследователи также обнаружили компьютеры Windows, которые были заражены вредоносным файлом WFCUpdater, но не смогли определить первоначальный установщик.Касперский сказал, что заражение началось с вредоносной программы .NET, которая была замаскирована как средство обновления WFC-кошелька и распространялась через фальшивый сайт.

Вредоносные программы заражали компьютеры в несколько этапов, прежде чем выполнять команды группы и постоянно устанавливать полезную нагрузку.

Злоумышленники могли использовать Telegram для распространения вредоносных программ.

Windows-версии UnionCryptoTrader были найдены выполненными из папки загрузки Telegram, что привело исследователей к убеждению, что «с большой уверенностью актер поставил манипулированный установщик с помощью мессенджера Telegram».

Еще одной причиной полагать, что Telegram использовался для распространения вредоносных программ, является наличие группы Telegram на фальшивом веб-сайте.Интерфейс программы имеет графический интерфейс, показывающий цену Биткоин (BTC) на нескольких биржах криптовалют.

Скриншот пользовательского интерфейса UnionCryptoTrader.Источник: Касперский

Windows-версия UnionCryptoTrader инициирует испорченный процесс Internet Explorer, который затем используется для выполнения команд злоумышленника.Kaspersky обнаружил случаи вредоносного ПО, описанного выше, в Великобритании, Польше, России и Китае.Отчет гласит:

«Мы считаем, что постоянные атаки группы Lazarus за финансовую выгоду вряд ли прекратятся в ближайшее время.[…] Мы предполагаем, что такого рода атаки на криптовалютный бизнес продолжатся и станут более изощренными ».

Известно, что Lazarus давно ориентирован на пользователей криптовалюты.В октябре 2018 года сообщалось, что с начала 2017 года группа украла ошеломляющие 571 миллион долларов в криптовалютах.

В марте 2019 года в сообщениях «Касперского» говорилось о том, что усилия группы по нацеливанию на пользователей криптовалюты все еще продолжаются и ее тактика развивается.Кроме того, вирус macOS группы был также усилен в октябре прошлого года.