Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

admin 2022年12月27日12:03:13安全新闻评论7 views1172字阅读3分54秒阅读模式
Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

关键词

黑客   加密货币


“Lazarus”黑客组织与以虚构品牌“BloxHolder”传播虚假加密货币应用程序的新攻击有关,攻击者试图安装 AppleJeus 恶意软件访问网络并窃取加密资产。

根据 2021 年 2 月的 FBI 和 CISA 联合报告 ,AppleJeus 至少从 2018 年开始流通,被 Lazarus 用于加密货币劫持和数字资产盗窃行动。

Volexity的一份新报告 发现了新的伪造加密程序和 AppleJeus 活动,这些恶意软件的感染链和能力有进化迹象。

归因于 Lazarus 的新活动于 2022 年 6 月开始,并至少持续到 2022 年 10 月。

在此活动中,攻击者使用了“bloxholder[.]com”域,这是 HaasOnline 自动加密货币交易平台的克隆。

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

该网站分发了一个 12.7MB 的 Windows MSI 安装程序,它伪装成 BloxHolder 应用程序。然而,实际上,它是与 QTBitcoinTrader 应用程序捆绑在一起的 AppleJeus 恶意软件。

2022 年 10 月,黑客组织将他们的活动发展为使用 Microsoft Office 文档而不是 MSI 安装程序来分发恶意软件。

这份 214KB 的文件名为“OKX Binance & Huobi VIP fee comparison.xls”,包含一个在目标计算机上创建三个文件的宏。

Volexity 无法从后来的感染链中检索到最终有效负载,但他们注意到在之前使用的 MSI 安装程序攻击中发现的 DLL 侧载机制有相似之处,因此他们确信这是同一个活动。

通过 MSI 感染链安装后,AppleJeus 将创建计划任务并将其他文件放入文件夹“%APPDATA%RoamingBloxholder”。

接下来,恶意软件将收集 MAC 地址、计算机名称和操作系统版本,并通过 POST 请求将其发送到 C2,可能会识别它是在虚拟机还是沙盒上运行。

最近活动中的一个新颖元素是链式 DLL侧载,以从受信任的进程中加载恶意软件,从而逃避安全软件检测。

最近的 AppleJeus 样本中的另一个新特征是它的所有字符串和 API 调用现在都使用自定义算法进行了混淆,使它们对安全产品更加隐蔽。

尽管 Lazarus 对加密货币资产的关注有据可查,但朝鲜黑客仍然专注于窃取数字货币的目标,不断刷新主题并改进工具以尽可能隐蔽。



   END  

阅读推荐

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币【安全圈】搭建“跑分”平台,直播间疯狂刷礼物可能是在洗钱

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币【安全圈】全球超过 500 万人的数据在机器人市场出售

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币【安全圈】微软称黑客通过Telegram瞄准加密货币公司

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币【安全圈】勒索组织黑五期间攻击欧洲零售商,累计攻击1300家公司



Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币
Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

安全圈

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币



原文始发于微信公众号(安全圈):【安全圈】“Lazarus”黑客使用新的假加密应用程序破坏网络,窃取加密货币

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年12月27日12:03:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Lazarus黑客使用新的假加密应用程序破坏网络,窃取加密货币 http://cn-sec.com/archives/1456564.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: