O grupo de hackers norte-coreano 'Lazarus' está vinculado a um novo ataque que espalha aplicativos falsos de criptomoedas sob a marca inventada, "BloxHolder", para instalar o malware AppleJeus para acesso inicial a redes e roubar criptoativos.
De acordo com um relatório conjunto do FBI e da CISA de fevereiro de 2021, o AppleJeus está em circulação desde pelo menos 2018, usado por Lazarus em operações de sequestro de criptomoedas e roubo de ativos digitais
Um novo relatório da Volexity identificou novos programas falsos de criptografia e atividade AppleJeus, com sinais de evolução na cadeia de infecção e habilidades do malware.
Nova campanha BloxHolder
A nova campanha atribuída a Lázaro começou em junho de 2022 e esteve ativa até pelo menos outubro de 2022.
Nesta campanha, os agentes de ameaças usaram o domínio "bloxholder[.]com", um clone da plataforma automatizada de negociação de criptomoedas HaasOnline.
Este site distribuiu um instalador Windows MSI de 12,7 MB que fingia ser o aplicativo BloxHolder. No entanto, na realidade, era o malware AppleJeus empacotado com o aplicativo QTBitcoinTrader.
Em outubro de 2022, o grupo de hackers desenvolveu sua campanha para usar documentos do Microsoft Office em vez do instalador MSI para distribuir o malware.
O documento de 214KB foi nomeado 'OKX Binance & Huobi VIP rate comparision.xls' e continha uma macro que cria três arquivos no computador de um alvo.
A Volexity não conseguiu recuperar a carga final dessa cadeia de infecção posterior, mas eles notaram semelhanças no mecanismo de sideloading de DLL encontrado nos ataques do instalador MSI usados anteriormente, então eles estão confiantes de que é a mesma campanha.
Após a instalação através da cadeia de infecção MSI, o AppleJeus criará uma tarefa agendada e colocará arquivos adicionais na pasta "%APPDATA%\Roaming\Bloxholder\".
Em seguida, o malware coletará o endereço MAC, o nome do computador e a versão do sistema operacional e os enviará ao C2 por meio de uma solicitação POST, provavelmente para identificar se está sendo executado em uma máquina virtual ou sandbox.
Um elemento novo em campanhas recentes é o sideload de DLL encadeado para carregar o malware de dentro de um processo confiável, evitando a detecção de AV.
"Especificamente, "CameraSettingsUIHost.exe" carrega o arquivo "dui70.dll" do diretório "System32", que causa o carregamento do arquivo malicioso "DUser.dll" do diretório do aplicativo para o processo "CameraSettingsUIHost.exe", " explica Volexity .
"O arquivo "dui70.dll" é o "Windows DirectUI Engine" e normalmente é instalado como parte do sistema operacional."
A Volexity diz que o motivo pelo qual o Lazarus optou pelo sideload de DLL em cadeia não está claro, mas pode ser para impedir a análise de malware.
Outra nova característica nas amostras recentes do AppleJeus é que todas as suas strings e chamadas de API agora são ofuscadas usando um algoritmo personalizado, tornando-as mais furtivas contra produtos de segurança.
Embora o foco de Lazarus em ativos de criptomoeda esteja bem documentado, os hackers norte-coreanos permanecem fixos em seu objetivo de roubar dinheiro digital, constantemente atualizando temas e aprimorando ferramentas para permanecer o mais furtivo possível.
Quem é o Grupo Lázaro
O Lazarus Group (também conhecido como ZINC) é um grupo de hackers norte-coreano que está ativo desde pelo menos 2009.
O grupo ganhou notoriedade depois de hackear a Sony Films em Operação Blockbuster e a campanha global de ransomware WannaCry de 2017 que criptografava empresas em todo o mundo.
O Google descobriu em janeiro de 2021 que Lazarus estava criando personas online falsas para atingir pesquisadores de segurança em ataques de engenharia social que instalavam backdoors em seus dispositivos. Um segundo ataque usando essa tática foi descoberto em março de 2021.
O governo dos EUA sancionou o grupo de hackers Lazarus em setembro de 2019 e agora oferece uma recompensa de até US$ 5 milhões por informações que possam atrapalhar suas atividades.
Ataques mais recentes se voltaram para a disseminação de carteiras de criptomoeda trojanizadas e aplicativos de negociação que roubam as chaves privadas das pessoas e drenam seus ativos criptográficos.
Em abril, o governo dos EUA vinculou o grupo Lazarus a um ataque cibernético ao Axie Infinity que permitiu que eles roubassem mais de US$ 617 milhões em tokens Ethereum e USDC.
Mais tarde, foi revelado que o hack do Axie Infinity foi possível devido a um ataque de phishing contendo um arquivo PDF malicioso fingindo ser uma oferta de emprego enviada a um dos engenheiros da empresa.
Veja também:
Postar um comentário
Convido você a compartilhar suas impressões e ideias! Sua opinião é extremamente importante para mim e para a comunidade do Seja Hoje Diferente. Deixe seu comentário, feedback ou sugestões logo abaixo no campo de comentários. É através dessa troca que crescemos juntos e transformamos o SHD em um espaço cada vez mais rico e inspirador para todos. Vamos continuar essa conversa? Escreva suas experiências e pensamentos — estarei ansioso para ler e responder!