Нова кіберзагроза для криптопроєктів: виявлено шкідливе ПЗ від північнокорейських хакерів
Північнокорейське хакерське угруповання Lazarus почало використовувати новий, «невидимий» троян RemotePE для атак на криптовалютні проєкти, біржі та фінтех-стартапи. Про це повідомили фахівці нідерландської компанії Fox-IT.
Методи розповсюдження та інфікування
Атаки, як правило, розпочинаються з методів соціальної інженерії. Зловмисники з Lazarus Group встановлюють контакт із потенційними жертвами через месенджер Telegram, видаючи себе за співробітників трейдингових компаній. Вони надсилають посилання на підроблені сторінки сервісів Calendly та Picktime під приводом організації ділової зустрічі. Після підтвердження зустрічі запускається ланцюжок зараження пристрою жертви.
Багатоетапний процес зараження
Процес атаки складається з кількох етапів. Спочатку на пристрій завантажується програма DPAPILoader, яка використовує вбудовані механізми операційної системи для розшифрування шкідливого коду. Далі активується другий компонент — RemotePELoader. Він встановлює зв’язок з керованим сервером та завантажує основний троян безпосередньо в оперативну пам’ять комп’ютера.
Невиявлюваність шкідливого ПЗ
Експерти Fox-IT вважають, що такий підхід дозволяє шкідливому програмному забезпеченню обходити численні засоби захисту. Троян RemotePE функціонує виключно в оперативній пам’яті, не зберігаючи жодних файлів на жорсткому диску. Це значно ускладнює його виявлення як антивірусними програмами, так і аналітиками, які займаються розслідуванням подібних інцидентів.
Довготривала присутність та крадіжка активів
За оцінками аналітиків, RemotePE розроблений не для одноразових атак, а для тривалої прихованої присутності в інфраструктурі жертви. Після проникнення хакери можуть збирати інформацію про систему та активність користувачів, готуючи ґрунт для подальшої крадіжки криптовалютних активів. Раніше експерти платформи TRM Labs, що спеціалізується на кібербезпеці, повідомили, що загальна вартість криптовалют, викрадених хакерами з Північної Кореї за останні дев’ять років, перевищила 6 мільярдів доларів США.
Резюме Crypto Top: Зростання використання витончених, невловимих шкідливих програм, таких як RemotePE, свідчить про підвищення рівня загроз для криптоіндустрії, вимагаючи посилення заходів безпеки та підвищення обізнаності користувачів щодо соціальної інженерії.