eGospodarka.pl
bezpłatny program PIT 2019

eGospodarka.plWiadomościTechnologieInternet › Cybergang kradnie kryptowaluty. Ofiary także w Polsce

Cybergang kradnie kryptowaluty. Ofiary także w Polsce

2020-01-09 12:51

Cybergang kradnie kryptowaluty. Ofiary także w Polsce

Wykrywanie ataków © fot. mat. prasowe

O cyberprzestępczym ugrupowaniu Lazarus głośno było już nie raz. W mediach szerokim echem odbiła się m.in. operacja AppleJeus, w wyniku której doszło do zakrojonej na szeroką skalę kradzieży kryptowaluty. Najświeższe obserwacje ekspertów Kaspersky wskazują, że gang nie tylko ma się dobrze i kontynuuje swoją działalność, ale również nieustanne szlifuje swoje umiejętności.
Lazarus to gang, który zasłynął przede wszystkim z rozlicznych i efektywnych kampanii wymierzonych w sektor finansowy oraz kryptowaluty. Głośno było m.in. o przeprowadzonej w 2018 roku kampanii AppleJeus, na potrzeby której oszuści posunęli się do utworzenia fałszywej firmy kryptowalutowej. Jej celem było rozprzestrzenianie sfabrykowanej przez cyberprzestępców aplikacji. Pobierało się ją ze stron osób trzecich, a szkodliwa funkcja rozsyłana była pod przykrywką standardowej aktualizacji. Dzięki niej cyberprzestępcy przejmowali pełnię kontroli nad urządzeniami ofiar i kradli kryptowaluty. Warto przy tym podkreślić, że była to kampania, w której Lazarus wykorzystał swoje pierwsze szkodliwe oprogramowanie dla systemu macOS.

W 2019 roku badacze Kaspersky dostrzegli, że Lazarus nie zaniechał działalności w ramach AppleJeus, odnotowując jednocześnie znaczące różnice w taktykach stosowanych w kontynuacji tej operacji. Sposób przeprowadzania ataków w 2019 r. przypominał wprawdzie ten znany z poprzedniego roku, ale zawierał kilka udoskonaleń. Tym razem gang Lazarus przygotował fałszywe strony internetowe związane z kryptowalutą, które zawierały odsyłacze do fałszywych kanałów Telegrama i rozprzestrzeniały szkodliwe oprogramowanie za pośrednictwem tego komunikatora. Wśród ofiar znajdują się osoby z Wielkiej Brytanii, Polski, Rosji oraz Chin, a kilka z nich ma powiązania z podmiotami z branży kryptowaluty.
Ugrupowanie Lazarus, znane z wyrafinowanych operacji oraz związków z Koreą Północną, wyróżnia się nie tylko atakami mającymi na celu cyberszpiegostwo i cybersabotaż, ale również działaniami motywowanymi finansowo.

fot. mat. prasowe

Wykrywanie ataków

Cybergang Lazarus pokazuje udoskonalony warsztat w ataku AppleJeus mającym na celu kradzież kryptowaluty


Podobnie jak w przypadku pierwotnej operacji AppleJeus, atak składał się z dwóch faz. Najpierw użytkownicy pobierali aplikację, a następnie powiązany z nią moduł pobierał ze zdalnego serwera kolejną szkodliwą funkcję, która zapewniała atakującym pełną kontrolę nad zainfekowanym urządzeniem przy pomocy trojana otwierającego „tylną furtkę” (tzw. backdoor). Jednak tym razem szkodliwa funkcja była dostarczana w sposób dyskretny w celu uniknięcia wykrycia przez rozwiązania stosujące detekcję w oparciu o zachowanie procesów w systemie. W atakach na cele działające w systemie macOS moduł pobierający szkodliwe funkcje został wzbogacony o mechanizm uwierzytelniania, zmieniono środowisko programistyczne i przyjęto bezplikową technikę infekcji. Podczas ataków na użytkowników systemu Windows zamiast wykorzystywania szkodliwego oprogramowania Fallchill (które było stosowane w pierwszej operacji AppleJeus) stworzono szkodnika, który działał wyłącznie w określonych systemach po sprawdzeniu ich pod kątem określonych parametrów. Zmiany te pokazują, że Lazarus przykłada coraz większą wagę do zapobiegania wykrycia swoich działań.

Lazarus dokonał również znaczących modyfikacji w szkodliwym oprogramowaniu dla systemu macOS i zwiększył liczbę jego wersji. W przeciwieństwie do wcześniejszego ataku, podczas którego cyberugrupowanie wykorzystało oparte na otwartym źródle oprogramowanie QtBitcoinTrader w celu stworzenia specjalnego instalatora macOS, podczas kolejnej fali ataku gang zaczął wykorzystywać własny kod. To oznacza, że cyberugrupowanie będzie z dużym prawdopodobieństwem nadal tworzyło modyfikacje szkodliwego oprogramowania dla macOS.

Kontynuacja operacji AppleJeus pokazuje, że mimo stagnacji na rynkach kryptowaluty cybergang Lazarus nadal inwestuje w ataki związane z tym sektorem, które w efekcie stają się bardziej wyrafinowane. Dalsze zmiany i zróżnicowanie szkodliwego oprogramowania sugeruje, że ataki te odnotują prawdopodobnie wzrost ilościowy i staną się jeszcze poważniejszym zagrożeniem – komentuje Seongsu Park, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.

oprac. : eGospodarka.pl

Oceń

0 0

Podziel się

Poleć na Wykopie

Poleć artykuł znajomemu Wydrukuj

Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ

Komentarze (0)

DODAJ SWÓJ KOMENTARZ

bezpłatny program PIT 2019

Eksperci egospodarka.pl

1 1 1

Wpisz nazwę miasta, dla którego chcesz znaleźć jednostkę ZUS.

Wzory dokumentów

Bezpłatne wzory dokumentów i formularzy.
Wyszukaj i pobierz za darmo: