- 19,427
- 40
- 8 Ноя 2022
Как хакеры из КНДР похищают данные под видом автоматизации.
Команда 360 Advanced Threat Research Institute Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами — Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей.
Группа Lazarus ( Для просмотра ссылки Войдиили Зарегистрируйся -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели — финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи Для просмотра ссылки Войди или Зарегистрируйся — кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.
В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.
Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная обфускация позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.
Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.
Для атаки использовались три основных вредоносных модуля:
· n2pay — для мониторинга системы, кражи файлов и выполнения команд;
· n2bow — для кражи данных из браузеров;
· n2mlip — для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.
Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.
Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.
В сентябре Palo Alto Networks Для просмотра ссылки Войдиили Зарегистрируйся хакерских группировок, связанных с разведкой Северной Кореи. Группы, которые в публичных отчётах часто объединяются под названием Lazarus, работают в интересах правительства КНДР, занимаясь кибер Для просмотра ссылки Войди или Зарегистрируйся , финансовыми преступлениями и разрушительными атаками на различные отрасли по всему миру.
Команда 360 Advanced Threat Research Institute Для просмотра ссылки Войди
Группа Lazarus ( Для просмотра ссылки Войди
В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.
Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная обфускация позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.
Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.
Для атаки использовались три основных вредоносных модуля:
· n2pay — для мониторинга системы, кражи файлов и выполнения команд;
· n2bow — для кражи данных из браузеров;
· n2mlip — для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.
Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.
Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.
В сентябре Palo Alto Networks Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
