histats

Des pirates nord-coréens distribuent des portefeuilles DeFi trojanisés pour voler la crypto des victimes – Hacker News

Des pirates nord-coréens distribuent des portefeuilles DeFi trojanisés pour voler la crypto des victimes – Hacker News

Le groupe Lazare

L’équipe de hackers parrainée par l’État nord-coréen, également connue sous le nom de groupe Lazarus, a été créditée d’une autre campagne à motivation financière qui exploite une application de portefeuille de financement décentralisé (DeFi) basée sur un cheval de Troie pour déployer une porte dérobée entièrement équipée sur les systèmes Windows compromis.

L’application, qui propose des fonctionnalités de stockage et de gestion d’un portefeuille de crypto-monnaie, est également conçue pour déclencher le lancement de l’implant qui peut prendre le contrôle de l’hôte infecté. La société russe de cybersécurité Kaspersky a déclaré avoir rencontré l’application indésirable pour la première fois à la mi-décembre 2021.

Cybersécurité

Le schéma d’infection initié par l’application entraîne également la distribution du programme d’installation d’une application légitime, qui est écrasée par une version de cheval de Troie dans le but de brouiller les pistes. Cela dit, la première approche n’est pas claire, bien qu’elle soit soupçonnée d’être un cas d’ingénierie sociale.

Le logiciel malveillant, déguisé en navigateur Chrome de Google, lance ensuite une application de portefeuille conçue pour DeFiChain, tout en établissant des connexions à un domaine distant contrôlé par un attaquant et en attendant d’autres instructions du serveur.

Le groupe Lazare

Sur la base de la réponse reçue du serveur de commande et de contrôle (C2), le cheval de Troie continue d’exécuter une large gamme de commandes, ce qui lui permet de collecter des informations système, de compter et de terminer des processus, de supprimer des fichiers, de démarrer de nouveaux processus et de sauvegarder des données arbitraires. fichiers sur la machine.

See also  Le nouveau mode de verrouillage de l'iPhone d'Apple combat le piratage

L’infrastructure C2 utilisée dans cette campagne se composait exclusivement de serveurs Web précédemment compromis situés en Corée du Sud, ce qui a incité la société de cybersécurité à travailler avec l’équipe de contingence informatique du pays (KrCERT) pour démanteler les serveurs.

Cybersécurité

Les résultats surviennent plus de deux mois après que Kaspersky a révélé les détails d’une campagne similaire “SnatchCrypto” montée par le sous-groupe Lazarus suivi sous le nom de BlueNoroff pour exploiter les fonds numériques des portefeuilles MetaMask des victimes.

“Pour le joueur menaçant de Lazarus, le gain financier est l’une des principales motivations, avec un accent particulier sur les activités de crypto-monnaie. Alors que le prix de la crypto-monnaie augmente et que la popularité des jetons non fongibles (NFT) et des entreprises de finance décentralisée (DeFi) continue de houle, le groupe Lazarus ciblant l’industrie financière continue d’évoluer », ont souligné les chercheurs de Kaspersky GREAT.

You may also like...

Leave a Reply

Your email address will not be published.