O grupo de hackers norte-coreano 'Lazarus' está vinculado a um novo ataque que espalha aplicativos falsos de criptomoedas sob a marca inventada, "BloxHolder", para instalar o malware AppleJeus para acesso inicial a redes e roubar criptoativos.

Por Bill Toula

De acordo com um  relatório conjunto do FBI e da CISA  de fevereiro de 2021, o AppleJeus está em circulação desde pelo menos 2018, usado por Lazarus em operações de sequestro de criptomoedas e roubo de ativos digitais

Um novo relatório da  Volexity  identificou novos programas falsos de criptografia e atividade AppleJeus, com sinais de evolução na cadeia de infecção e habilidades do malware.

Nova campanha BloxHolder

A nova campanha atribuída a Lázaro começou em junho de 2022 e esteve ativa até pelo menos outubro de 2022.

Nesta campanha, os agentes de ameaças usaram o domínio "bloxholder[.]com", um clone da plataforma automatizada de negociação de criptomoedas HaasOnline.

Este site distribuiu um instalador Windows MSI de 12,7 MB que fingia ser o aplicativo BloxHolder. No entanto, na realidade, era o malware AppleJeus empacotado com o aplicativo QTBitcoinTrader.

Em outubro de 2022, o grupo de hackers desenvolveu sua campanha para usar documentos do Microsoft Office em vez do instalador MSI para distribuir o malware.

O documento de 214KB foi nomeado 'OKX Binance & Huobi VIP rate comparision.xls' e continha uma macro que cria três arquivos no computador de um alvo.

A Volexity não conseguiu recuperar a carga final dessa cadeia de infecção posterior, mas eles notaram semelhanças no mecanismo de sideloading de DLL encontrado nos ataques do instalador MSI usados ​​anteriormente, então eles estão confiantes de que é a mesma campanha.

Após a instalação através da cadeia de infecção MSI, o AppleJeus criará uma tarefa agendada e colocará arquivos adicionais na pasta "%APPDATA%\Roaming\Bloxholder\".

Em seguida, o malware coletará o endereço MAC, o nome do computador e a versão do sistema operacional e os enviará ao C2 por meio de uma solicitação POST, provavelmente para identificar se está sendo executado em uma máquina virtual ou sandbox.

Um elemento novo em campanhas recentes é o sideload de DLL encadeado para carregar o malware de dentro de um processo confiável, evitando a detecção de AV.

"Especificamente, "CameraSettingsUIHost.exe" carrega o arquivo "dui70.dll" do diretório "System32", que causa o carregamento do arquivo malicioso "DUser.dll" do diretório do aplicativo para o processo "CameraSettingsUIHost.exe", "  explica Volexity .

"O arquivo "dui70.dll" é o "Windows DirectUI Engine" e normalmente é instalado como parte do sistema operacional."

A Volexity diz que o motivo pelo qual o Lazarus optou pelo sideload de DLL em cadeia não está claro, mas pode ser para impedir a análise de malware.

Outra nova característica nas amostras recentes do AppleJeus é que todas as suas strings e chamadas de API agora são ofuscadas usando um algoritmo personalizado, tornando-as mais furtivas contra produtos de segurança.

Embora o foco de Lazarus em ativos de criptomoeda esteja bem documentado, os hackers norte-coreanos permanecem fixos em seu objetivo de roubar dinheiro digital, constantemente atualizando temas e aprimorando ferramentas para permanecer o mais furtivo possível.

Quem é o Grupo Lázaro

O  Lazarus Group  (também conhecido como ZINC) é um grupo de hackers norte-coreano que está ativo desde pelo menos 2009.

O grupo ganhou notoriedade depois de hackear a Sony Films em  Operação Blockbuster  e a campanha global  de ransomware WannaCry de 2017  que criptografava empresas em todo o mundo.

O Google descobriu em janeiro de 2021 que Lazarus estava criando personas online falsas para  atingir pesquisadores de segurança  em ataques de engenharia social que instalavam backdoors em seus dispositivos. Um  segundo ataque  usando essa tática foi descoberto em março de 2021.

O governo dos EUA  sancionou o grupo de hackers Lazarus  em setembro de 2019 e agora  oferece uma recompensa de até US$ 5 milhões  por informações que possam atrapalhar suas atividades.

Ataques mais recentes se voltaram para a disseminação de  carteiras de criptomoeda trojanizadas  e  aplicativos de negociação  que roubam as chaves privadas das pessoas e drenam seus ativos criptográficos.

Em abril, o governo dos EUA  vinculou o grupo Lazarus  a um ataque cibernético ao Axie Infinity que permitiu que eles  roubassem mais de US$ 617 milhões  em tokens Ethereum e USDC.

Mais tarde, foi revelado que o hack do Axie Infinity foi possível devido a  um ataque de phishing contendo um arquivo PDF malicioso  fingindo ser uma oferta de emprego enviada a um dos engenheiros da empresa.

Veja também:

Extensão do Google Chrome usada para roubar criptomoedas e senhas

Postagem Anterior Próxima Postagem

Increase Alexa Rank