Cybergang kradnie kryptowaluty. Ofiary także w Polsce

Przeczytaj także: WhatsApp i Telegram - uwaga na nowe zagrożenie

Lazarus to gang, który zasłynął przede wszystkim z rozlicznych i efektywnych kampanii wymierzonych w sektor finansowy oraz kryptowaluty. Głośno było m.in. o przeprowadzonej w 2018 roku kampanii AppleJeus, na potrzeby której oszuści posunęli się do utworzenia fałszywej firmy kryptowalutowej. Jej celem było rozprzestrzenianie sfabrykowanej przez cyberprzestępców aplikacji. Pobierało się ją ze stron osób trzecich, a szkodliwa funkcja rozsyłana była pod przykrywką standardowej aktualizacji. Dzięki niej cyberprzestępcy przejmowali pełnię kontroli nad urządzeniami ofiar i kradli kryptowaluty. Warto przy tym podkreślić, że była to kampania, w której Lazarus wykorzystał swoje pierwsze szkodliwe oprogramowanie dla systemu macOS.

W 2019 roku badacze Kaspersky dostrzegli, że Lazarus nie zaniechał działalności w ramach AppleJeus, odnotowując jednocześnie znaczące różnice w taktykach stosowanych w kontynuacji tej operacji. Sposób przeprowadzania ataków w 2019 r. przypominał wprawdzie ten znany z poprzedniego roku, ale zawierał kilka udoskonaleń. Tym razem gang Lazarus przygotował fałszywe strony internetowe związane z kryptowalutą, które zawierały odsyłacze do fałszywych kanałów Telegrama i rozprzestrzeniały szkodliwe oprogramowanie za pośrednictwem tego komunikatora. Wśród ofiar znajdują się osoby z Wielkiej Brytanii, Polski, Rosji oraz Chin, a kilka z nich ma powiązania z podmiotami z branży kryptowaluty.


Podobnie jak w przypadku pierwotnej operacji AppleJeus, atak składał się z dwóch faz. Najpierw użytkownicy pobierali aplikację, a następnie powiązany z nią moduł pobierał ze zdalnego serwera kolejną szkodliwą funkcję, która zapewniała atakującym pełną kontrolę nad zainfekowanym urządzeniem przy pomocy trojana otwierającego „tylną furtkę” (tzw. backdoor). Jednak tym razem szkodliwa funkcja była dostarczana w sposób dyskretny w celu uniknięcia wykrycia przez rozwiązania stosujące detekcję w oparciu o zachowanie procesów w systemie. W atakach na cele działające w systemie macOS moduł pobierający szkodliwe funkcje został wzbogacony o mechanizm uwierzytelniania, zmieniono środowisko programistyczne i przyjęto bezplikową technikę infekcji. Podczas ataków na użytkowników systemu Windows zamiast wykorzystywania szkodliwego oprogramowania Fallchill (które było stosowane w pierwszej operacji AppleJeus) stworzono szkodnika, który działał wyłącznie w określonych systemach po sprawdzeniu ich pod kątem określonych parametrów. Zmiany te pokazują, że Lazarus przykłada coraz większą wagę do zapobiegania wykrycia swoich działań.

Lazarus dokonał również znaczących modyfikacji w szkodliwym oprogramowaniu dla systemu macOS i zwiększył liczbę jego wersji. W przeciwieństwie do wcześniejszego ataku, podczas którego cyberugrupowanie wykorzystało oparte na otwartym źródle oprogramowanie QtBitcoinTrader w celu stworzenia specjalnego instalatora macOS, podczas kolejnej fali ataku gang zaczął wykorzystywać własny kod. To oznacza, że cyberugrupowanie będzie z dużym prawdopodobieństwem nadal tworzyło modyfikacje szkodliwego oprogramowania dla macOS.

Kontynuacja operacji AppleJeus pokazuje, że mimo stagnacji na rynkach kryptowaluty cybergang Lazarus nadal inwestuje w ataki związane z tym sektorem, które w efekcie stają się bardziej wyrafinowane. Dalsze zmiany i zróżnicowanie szkodliwego oprogramowania sugeruje, że ataki te odnotują prawdopodobnie wzrost ilościowy i staną się jeszcze poważniejszym zagrożeniem – komentuje Seongsu Park, badacz ds. cyberbezpieczeństwa z firmy Kaspersky.