Portafogli

Gli hacker nordcoreani distribuiscono app di portafoglio DeFi trojanizzate per rubare le criptovalute delle vittime

Gruppo Lazzaro

Il team di hacker sostenuto dallo stato nordcoreano, noto anche come Lazarus Group, è stato rintracciato in un’altra campagna motivata finanziariamente che sfrutta un’applicazione portafoglio Trojan Decentralized Finance (DeFi) per distribuire una backdoor completa su sistemi Windows compromessi.

L’app, dotata di funzionalità per la registrazione e la gestione di un wallet di criptovalute, è progettata anche per attivare il lancio dell’impianto in grado di prendere il controllo dell’host infetto. La società russa di sicurezza informatica Kaspersky ha affermato di aver incontrato per la prima volta l’app dannosa a metà dicembre 2021.

sicurezza informatica

Lo schema di infezione avviato dall’app comporta anche la distribuzione del programma di installazione per un’app legittima, che viene sovrascritta da una versione Trojan nel tentativo di coprirne le tracce. Detto questo, il percorso di ingresso iniziale non è chiaro, anche se si sospetta che si tratti di un caso di ingegneria sociale.

Il malware generato, che impersona il browser Web Chrome di Google, avvia quindi un’applicazione portafoglio progettata per DeFiChain mentre stabilisce connessioni a un dominio remoto controllato da un utente malintenzionato e attende ulteriori istruzioni dal server.

Gruppo Lazzaro

Sulla base della risposta ricevuta dal server di comando e controllo (C2), il Trojan esegue un’ampia gamma di comandi, consentendogli di raccogliere informazioni di sistema, enumerare e terminare processi, eliminare file, avviare nuovi processi e salvare file arbitrari sul macchina.

L’infrastruttura C2 utilizzata in questa campagna consisteva esclusivamente in server Web precedentemente compromessi situati in Corea del Sud, spingendo l’azienda di sicurezza informatica a collaborare con il Computer Emergency Response Team (KrCERT) del paese per smantellare i camerieri.

sicurezza informatica

I risultati arrivano più di due mesi dopo che Kaspersky ha fatto trapelare i dettagli di una simile campagna “SnatchCrypto” organizzata dal sottogruppo Lazarus che tracciava come BlueNoroff per drenare fondi digitali dai portafogli MetaMask delle vittime.

“Per l’attore di minacce Lazarus, il guadagno finanziario è una motivazione primaria, con un’attenzione particolare all’attività di criptovaluta. Mentre il prezzo della criptovaluta aumenta e la popolarità dei token non fungibili (NFT) e delle attività di finanza decentralizzata (DeFi) continua a crescere, l’attenzione del Gruppo Lazarus sul settore finanziario continua ad evolversi”, hanno sottolineato i ricercatori di Kaspersky GReAT.

About the author

michaelkorsoutlet

Leave a Comment