Согласно отчету Elastic Security Labs от 31 октября, Lazarus Group использовала новую форму вредоносного ПО в попытке взломать криптобиржу.
Компания Elastic назвала новое вредоносное ПО «Kandykorn», а программу-загрузчик, которая загружает его в память, «Sugarload», поскольку в названии файла загрузчика имеется новое расширение «.sld». Elastic не назвала биржу, на которую была нацелена атака.
В 2023 году криптовалютные биржи подверглись череде взломов закрытых ключей, большинство из которых были связаны с северокорейским киберпреступным предприятием Lazarus Group.
По данным Elastic, атака началась, когда участники Lazarus выдавали себя за инженеров блокчейна и нацелились на инженеров неназванной криптобиржи. Злоумышленники связались с Discord, заявив, что они разработали прибыльного арбитражного бота, который может получать прибыль от расхождений между ценами криптовалют на разных биржах.
Злоумышленники убедили инженеров загрузить этого «бота». Файлы в ZIP-папке программы имели замаскированные имена, такие как «config.py» и «pricetable.py», что делало программу похожей на арбитражного бота.
После того, как инженеры запустили программу, она выполнила файл «Main.py», который запускал некоторые обычные программы, а также вредоносный файл под названием «Watcher.py». Watcher.py установил соединение с удаленной учетной записью Google Диска и начал загружать контент из нее в другой файл с именем testSpeed.py. Затем вредоносная программа один раз запустила testSpeed.py, а затем удалила его, чтобы замести следы.
Во время однократного выполнения testSpeed.py программа загрузила больше контента и в конечном итоге выполнила файл, который Elastic называет «Sugarloader». По словам Elastic, этот файл был замаскирован с помощью «двоичного упаковщика», что позволило ему обойти большинство программ обнаружения вредоносных программ. Однако им удалось обнаружить это, заставив программу остановиться после вызова ее функций инициализации, а затем сделав снимок виртуальной памяти процесса.
По словам компании Elastic, она запустила обнаружение вредоносного ПО VirusTotal на Sugarloader, и детектор заявил, что файл не является вредоносным.
Связанный: Криптофирмы, будьте осторожны: новое вредоносное ПО Lazarus теперь может обходить обнаружение
Как только Sugarloader был загружен на компьютер, он подключился к удаленному серверу и загрузил Кандикорн прямо в память устройства. Kandykorn содержит множество функций, которые удаленный сервер может использовать для выполнения различных вредоносных действий. Например, команду «0xD3» можно использовать для вывода списка содержимого каталога на компьютере жертвы, а команду «resp_file_down» можно использовать для передачи любого файла жертвы на компьютер злоумышленника.
Elastic полагает, что атака произошла в апреле 2023 года. Он утверждает, что программа, вероятно, все еще используется для проведения атак сегодня, заявляя:
«Эта угроза все еще активна, а инструменты и методы постоянно развиваются».
В 2023 году централизованные криптовалютные биржи и приложения подверглись множеству атак. Alphapo, CoinsPaid, Atomic Wallet, Coinex, Stake и другие стали жертвами этих атак, большинство из которых, похоже, заключались в краже злоумышленником закрытого ключа с устройства жертвы и используя его для перевода криптовалюты клиентов на адрес злоумышленника.
Федеральное бюро расследований США обвинило группу Lazarus в причастности ко взлому Coinex, а также в проведении атаки Stake и других.
Предполагаемый бывший сотрудник Pump.fun вчера удалил из протокола Solana на сумму около 2 миллионов долларов.…
Вот вам и возрождение акций мемов GameStop, а также связанный с ними рост монет мемов.Поскольку…
Илон Маск, генеральный директор Tesla, SpaceX и Neuralink, объявил сегодня в твите, что Neuralink ищет…
Похоже, Ревущего Китти разочаровал его любимый магазин видеоигр.GameStop, компания, которую трейдер (он же Кит Гилл)…
Цена Биткойна выросла до самого высокого уровня со времени широко обсуждавшегося события 19 апреля, коснувшись…
Двум гражданам Китая предъявлено обвинение в организации крупномасштабной аферы с криптовалютой, в результате которой было…