Le groupe nord-coréen Lazarus lié à un nouveau programme de piratage de crypto-monnaie

Le groupe Lazarus, une organisation de piratage nord-coréenne précédemment liée à des activités criminelles, a été connecté à un nouveau schéma d’attaque pour violer les systèmes et voler la crypto-monnaie à des tiers. La campagne, qui utilise une version modifiée d’un produit malveillant déjà existant appelé Applejeus, utilise un site cryptographique et même des documents pour accéder aux systèmes.

Le logiciel malveillant Lazarus modifié a utilisé le site cryptographique comme façade

Volexity, une société de cybersécurité basée à Washington DC, a lié Lazarus, un groupe de piratage nord-coréen déjà sanctionné par le gouvernement américain, à une menace impliquant l’utilisation d’un site cryptographique pour infecter les systèmes afin de voler des informations et de la crypto-monnaie à des tiers.

Un article de blog publié le 1er décembre a révélé qu’en juin, Lazarus avait enregistré un domaine appelé « bloxholder.com », qui serait plus tard établi comme une entreprise offrant des services de trading automatique de crypto-monnaie. Utilisant ce site comme une façade, Lazarus a invité les utilisateurs à télécharger une application qui servait de charge utile pour diffuser le malware Applejeus, dirigé pour voler les clés privées et d’autres données des systèmes des utilisateurs.

La même stratégie a déjà été utilisée par Lazarus. Cependant, ce nouveau schéma utilise une technique qui permet à l’application de « confondre et ralentir » les tâches de détection des logiciels malveillants.

Macros de documents

Volexity a également constaté que la technique de diffusion de ce malware aux utilisateurs finaux avait changé en octobre. La méthode s’est transformée pour utiliser des documents Office, en particulier une feuille de calcul contenant des macros, une sorte de programme intégré dans les documents conçu pour installer le malware Applejeus dans l’ordinateur.

Le document, identifié par le nom « OKX Binance & Huobi VIP fee comparision.xls », affiche les avantages que chacun des programmes VIP de ces échanges est censé offrir à leurs différents niveaux. Pour atténuer ce type d’attaque, il est recommandé de bloquer l’exécution des macros dans les documents, et également d’examiner et de surveiller la création de nouvelles tâches dans le système d’exploitation pour être au courant des nouvelles tâches non identifiées exécutées en arrière-plan. Cependant, Veloxity n’a pas informé du niveau de portée atteint par cette campagne.

Lazarus a été officiellement inculpé par le ministère américain de la Justice (DOJ) en février 2021, impliquant un agent du groupe lié à une organisation de renseignement nord-coréenne, le Reconnaissance General Bureau (RGB). Avant cela, en mars 2020, le DOJ a inculpé deux ressortissants chinois pour avoir aidé au blanchiment de plus de 100 millions de dollars en crypto-monnaie liée aux exploits de Lazarus.

Obtenez des crypto-monnaies gratuitement en cliquant sur ce lien
ou
Gagnez des intérêts sur vos crypto-monnaies en cliquant sur ce lien

Que pensez-vous de la dernière campagne de malware de crypto-monnaie de Lazarus ? Dites-nous dans la section commentaires ci-dessous.