Эксперты говорят, что в Северной Корее работает «зараженная троянами поддельная криптобиржа»
Охранная фирма сообщает, что северокорейские хакеры создали фальшивую криптовалютную биржу, которая заражает устройства пользователей, подключенные к Интернету, вредоносным ПО, позволяя им получать доступ к конфиденциальным сетям для кражи криптоактивов.
Заявления были сделаны поставщиком безопасности Volexity и поддержаны такими компаниями, как Malwarebytes.
В своем блоге Volexity заявила, что план разработала печально известная хакерская группа Lazarus, базирующаяся в Пхеньяне. В нем говорится, что Lazarus запустил поддельную биржу в июне этого года.
Названная BloxHolder, предполагаемая торговая платформа криптовалюты продвигает свои операции следующим образом:
«Используйте наших надежных крипто-торговых ботов для автоматизации стратегий крипто-торговли на более чем 20 биржах с помощью наших решений для автоматизации торговли, ориентированных на конфиденциальность».
Но Volexity утверждала, что BloxHolder является клоном добросовестной торговой платформы HaasOnline. В качестве доказательства были представлены примеры почти идентичных веб-страниц и дословно идентичный текст с двух сайтов.
Как работает троян?
Volexity заявила, что пользователям BloxHolder предлагается принять установочный файл Microsoft, который был изменен, чтобы содержать вариант трояна AppleJeus.
Эксперты по безопасности говорят, что AppleJeus, впервые идентифицированный «Лабораторией Касперского» в 2018 году, собирает информацию о заражаемых им системах. Он может собирать информацию об адресах компьютеров, именах компьютеров и версиях ОС. Этот начальный шаг доступа позже позволяет хакерам красть криптоактивы.
Cryptonews.com обнаружил, что программное обеспечение для блокировки вирусов, такое как MacAfee, Avast и южнокорейская Ahn Labs, помечает веб-сайт как «зараженный троянами» или «рискованный».
Volexity добавила, что «обнаружила несколько других файлов установщика Microsoft с темами криптовалюты, которые связаны с этой кампанией».
Авторы доклада предупреждают:
«Lazarus Group продолжает свои усилия по нацеливанию на пользователей криптовалюты, несмотря на постоянное внимание к их кампаниям и тактике».
Volexity добавила, что «ранее не отмечала использование документов Microsoft Office для развертывания вариантов AppleJeus», что может означать «изменение» тактики Lazarus.
Южнокорейское SBS отметило, что Лазарь якобы подчиняется управляемому Пхеньяном Генеральному бюро разведки. Считается, что это бюро является разведывательным управлением Северной Кореи, которому поручено проводить секретные операции в стране.
В прошлом месяце ведущий ученый призвал Сеул сделать больше, чтобы Север не атаковал криптоцели к югу от демилитаризованной зоны.
