Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Криптограбители из Северной Кореи снова пополняют бюджет страны путем кражи криптовалюты (http://txgate.io:443/showthread.php?t=11031)

Artifact 03-17-2025 02:32 AM

Хакеры улучшают техники атак, чтобы еще легче обходить системы защиты.
https://www.securitylab.ru/upload/ib...poq0wj89j7.jpg
Согласно новому отчету ИБ-компании Volexity, северокорейская хакерская группа Lazarus проводит новую кампанию, распространяя поддельные криптовалютные приложения под вымышленным брендом «BloxHolder» для установки вредоносного ПО AppleJeus, чтобы получить начальный доступ к сетям и украсть криптоактивы.
Новая кампания Lazarus началась в июне 2022 года и действовала как минимум до октября 2022 года. В этой кампании злоумышленники использовали домен «bloxholder[.]com», клон автоматизированной платформы для торговли криптовалютой HaasOnline.
https://www.securitylab.ru/upload/im...t-img(876).png
Настоящий (слева) и клонированный сайт (справа)
Фишинговый сайт распространял MSI-установщик Windows, который выдавал себя за приложение BloxHolder. На самом деле это было северокорейское вредоносное ПО для кражи криптовалюты AppleJeus , которое доставляется под видом легитимного приложения для торговли биткоином QT Bitcoin Trader.
После установки через цепочку заражения MSI AppleJeus создает запланированную задачу и помещает дополнительные файлы в папку «%APPDATA%\Roaming\Bloxholder\». Затем вредоносное ПО отправляет на сервер управления и контроля (C&amp;C) через POST-запрос следующую информацию о системе:<ul><li>MAC-адрес;</li>
</ul><ul><li>имя компьютера;</li>
</ul><ul><li>версия ОС.</li>
</ul>Так вредоносное ПО определяет в какой среде оно работает – на виртуальной машине или в песочнице.
Также в недавних кампаниях группировка использует технику DLL Sideloading для установки вредоносного ПО из доверенного процесса, избегая обнаружения AV-систем.
https://www.securitylab.ru/upload/im...t-img(877).png
Цепочка атаки DLL Sideloading
Исследователи Volexity заявили, что причина, по которой Lazarus выбрала технику DLL Sideloading неясна, но может заключаться в том, чтобы препятствовать анализу вредоносного ПО.
Еще одна новая особенность последних образцов AppleJeus заключается в том, что все его строки и вызовы API теперь запутываются с помощью специального алгоритма, что делает их более незаметными для продуктов безопасности.


All times are GMT. The time now is 07:34 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.