Hakerzy z Korei Północnej zaczęli używać aplikacji do przesyłania wiadomości Telegram do dystrybucji złośliwego oprogramowania, które umożliwia im kradzież kryptowalut. Według firmy ochroniarskiej Kaspersky, Grupa Lazarus stoi za atakami.
W jaki sposób hakerzy wykorzystują Telegram do kradzieży kryptowalut?
Wydaje się, że znacząco zmienili metodologię ataku, jednak kryptowaluty nadal są głównym obszarem ich zainteresowań. Zarejestrowali nieistniejącą firmę dostarczającą złośliwe pliki użytkownikom macOS i dodali mechanizm uwierzytelniania, który umożliwia ostrożne przesyłanie danych w następnym kroku, a także nauczyli się, jak załadować złośliwe oprogramowanie do pamięci bez uzyskiwania dostępu do dysku urządzenia. Ponadto złośliwe oprogramowanie dla systemu Windows przeszło znaczne zmiany.
Jednym z przykładów tego złośliwego oprogramowania jest UnionCryptoTrader, który jest platformą handlową do inteligentnego arbitrażu kryptowalut, ale w rzeczywistości kradnie poufne dane użytkowników.
Analitycy z firmy Kaspersky twierdzą, że hakerzy coraz częściej używają aplikacji Telegram, ulubionego środka komunikacji między handlarzami kryptowalut. Odkryto kilka fałszywych witryn ICO i platform handlowych, które zawierały linki do złośliwych grup w Telegramie.
Atak został nazwany „Operacją AppleJeus Sequel” jako kontynuacją „Operacji AppleJeus” z 2018 roku, jak stwierdza Kaspersky. Ofiary pochodzą z Wielkiej Brytanii, Polski, Rosji i Chin.
Warto zauważyć, że w zeszłym roku hakerzy Lazarus stworzyli fałszywą stronę do handlu kryptowalutami. Wcześniej okazało się, że hakerzy Lazarus są jedną z najbardziej dochodowych zorganizowanych grup przestępczych na świecie.