Команда 360 Advanced Threat Research Institute обнаружила новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами – Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей.
Группа Lazarus ( APT -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели – финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи хакеров – кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.
В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.
Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер – 70,68 МБ, а сложная обфускация позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.
Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.
Для атаки использовались три основных вредоносных модуля:
· n2pay – для мониторинга системы, кражи файлов и выполнения команд;
· n2bow – для кражи данных из браузеров;
· n2mlip – для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.
Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.
Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.
В сентябре Palo Alto Networks описала деятельность хакерских группировок, связанных с разведкой Северной Кореи. Группы, которые в публичных отчётах часто объединяются под названием Lazarus, работают в интересах правительства КНДР, занимаясь кибер шпионажем , финансовыми преступлениями и разрушительными атаками на различные отрасли по всему миру.