Nordkoreanische Hacker verteilen qua Kryptowährungs-Apps getarnte AppleJeus-Schadsoftware
[ad_1]
Laut neuen Erkenntnissen von Volexity wurde beobachtet, dass welcher Bedrohungsakteur welcher Lazarus-Haufen gefälschte Kryptowährungs-Apps qua Köder nutzt, um eine zuvor undokumentierte Version welcher AppleJeus-Schadsoftware zu verteilen.
„Sie Umtrieb beinhaltet insbesondere eine Kampagne, die wahrscheinlich hinaus Kryptowährungsbenutzer und Organisationen mit einer Variante welcher AppleJeus-Schadsoftware durch bösartige Microsoft Office-Dokumente abzielt“, sagten die Forscher Callum Roxan, Paul Rascagneres und Robert Jan Mora.
Die nordkoreanische Regierung ist zu diesem Zweck familiär, kombinieren dreigleisigen Arbeitsweise zu verfolgen, während sie böswillige Cyberaktivitäten einsetzt, die orchestriert werden, um Informationen zu zusammenschließen, Angriffe durchzuführen und illegale Einnahmen zu Gunsten von die von Sanktionen betroffene Nation zu generieren. Die Bedrohungen werden verbinden unter dem Namen Lazarus Group (alias Hidden Cobra oder Zinc) verfolgt.
„Nordkorea hat weltweit Cyber-Entwendung gegen Finanzinstitute und Kryptowährungsbörsen durchgeführt und notfalls Hunderte Mio. Dollar gestohlen, wahrscheinlich um Regierungsprioritäten wie seine Atom- und Raketenprogramme zu finanzieren“, heißt es in welcher von US-Geheimdiensten veröffentlichten jährlichen Bedrohungsanalyse 2021.
Herkunft vierter Monat des Jahres warnte die Cybersecurity and Infrastructure Security Agency (CISA) vor einem Aktivitätscluster namens TraderTraitor, welcher Kryptowährungsbörsen und Handelsunternehmen durch trojanisierte Krypto-Apps zu Gunsten von Windows und macOS angreift.
Während die TraderTraitor-Angriffe in welcher Versorgung des Fernzugriffstrojaners Manuscrypt gipfeln, nutzt die neue Umtrieb eine angebliche Krypto-Handelswebsite namens BloxHolder, eine Nachahmung welcher legitimen HaasOnline-Plattform, um AppleJeus hoch eine Installationsdatei bereitzustellen.
AppleJeus, erstmals 2018 von Kaspersky dokumentiert, wurde entwickelt, um Informationen hoch dies infizierte System (d. h. MAC-Postadresse, Computername und Betriebssystemversion) zu zusammenschließen und Shellcode von einem Command-and-Control-Server (C2) herunterzuladen.
Die Angriffskette soll im zehnter Monat des Jahres 2022 eine leichte Widersprüchlichkeit versiert nach sich ziehen, qua welcher Angreifer von MSI-Installationsprogrammdateien zu einem mit Sprengfallen versehenen Microsoft-Excel-Manuskript wechselte, dies Makros verwendet, um eine weit gehostete Nutzlast, ein PNG-Skizze, von OpenDrive herunterzuladen.
Die Idee hinterm Schalter wird wahrscheinlich die statische Erkennung durch Sicherheitsprodukte reduzieren, sagte Volexy und fügte hinzu, dass es die Bilddatei (“Hintergrund.png”) nicht hoch den OpenDrive-Link erhalten konnte, stellte jedoch verspannt, dass drei Dateien eingebettet sind, einschließlich einer verschlüsselten Nutzlast anschließend extrahiert und hinaus dem kompromittierten Host gestartet.
„Die Lazarus Group setzt ihre Bemühungen fort, Nutzer von Kryptowährungen anzusprechen, obwohl sie ihre Kampagnen und Taktiken weiterhin im Oculus behalten“, schlossen die Forscher.
[ad_2]