انتبه! باحث كاسبرسكي يجد أن لازاروس ينشر تطبيق DeFi مزيف لسرقة أصولك

جاكرتا - ضرب ممثل APT (التهديدات المستمرة المتقدمة) ، Lazarus ، أعمال العملة المشفرة من خلال حصانة طروادة تطبيق مالي لامركزي جديد (DeFi) لجني الأرباح.

مجموعة لازاروس هي واحدة من أكثر الجهات الفاعلة نشاطا في APT في العالم حيث تعمل منذ عام 2009 على الأقل. على عكس معظم مجموعات APT التي ترعاها الدولة ، جعل Lazarus وغيرها من الجهات الفاعلة المهددة المرتبطة ب APT هذه المكاسب المالية أحد دوافعها الرئيسية.

في ديسمبر 2021، اكتشف باحثو كاسبرسكي حملة جديدة للبرامج الضارة، أرسلت فيها مجموعة لازاروس تطبيق DeFi طروادة إلى شركات العملات المشفرة. يحتوي هذا التطبيق على برنامج شرعي يسمى DeFi Wallet ، والذي يخزن ويدير محافظ العملات المشفرة.

عند التشغيل ، يسقط التطبيق كلا من الملفات الضارة وكذلك المثبتات للتطبيقات المشروعة ، مما يؤدي في النهاية إلى تشغيل برامج ضارة باستخدام مسار مثبت حصان طروادة. ثم تقوم البرامج الضارة بالكتابة فوق التطبيق الشرعي باستخدام تطبيق حصان طروادة.

البرامج الضارة المستخدمة في مخطط العدوى هذا هي باب خلفي كامل الميزات مع القدرة على التحكم عن بعد في نظام الضحية. بعد السيطرة على النظام ، يمكن للمهاجمين حذف الملفات وجمع المعلومات والاتصال بعناوين IP محددة والتواصل مع خوادم C2.

استنادا إلى تاريخ هجمات لعازر، يعتقد الباحثون أن الدافع وراء هذه الحملة ليس سوى المكاسب المالية. بعد النظر في وظائف هذا الباب الخلفي، وجد باحثو كاسبرسكي الكثير من التداخل مع الأدوات الأخرى التي تستخدمها مجموعة لازاروس، وهي مجموعات البرامج الضارة CookieTime و ThreatNeedle. كما تستخدم مخططات العدوى متعددة المراحل على نطاق واسع في البنية التحتية لعازر.

"لقد لاحظنا اهتمام مجموعة لازاروس الكبير بصناعة العملات المشفرة لفترة من الوقت وشاهدنا أيضا كيف طوروا طرقا متطورة لجذب الضحايا دون لفت الانتباه إلى عملية العدوى" ، قال سيونغسو بارك ، كبير الباحثين الأمنيين في فريق البحث والتحليل العالمي (GReAT) كاسبرسكي ، في بيان تلقته VOI ، الاثنين 4 أبريل.

وأضاف سيونغسو بارك أن الصناعة القائمة على العملات المشفرة وبلوكتشين تتطور باستمرار وتجذب مستويات أعلى من الاستثمار. لذلك ، فهي ليست جذابة فقط للمحتالين والمخادعين ، ولكن أيضا "الصيادين الكبار" ، بما في ذلك مجموعة APT ذات الدوافع المالية.

"مع نمو سوق العملات الرقمية ، نعتقد اعتقادا راسخا أن اهتمام Lazarus بهذه الصناعة لن يتضاءل في المستقبل القريب. في حملة حديثة، أساء لازاروس استخدام تطبيقات DeFi المشروعة من خلال تقليدها وإسقاط البرامج الضارة، وهذا تكتيك شائع يستخدم في مطاردة العملات المشفرة".

ولهذا السبب تحث كاسبرسكي الشركات على البقاء في حالة تأهب لروابط البريد الإلكتروني والمرفقات غير المعروفة. وقال: "لأن لديها القدرة على أن تكون مزيفة ، على الرغم من أنها تبدو مألوفة وآمنة".