卡巴斯基:针对加密领域的朝鲜黑客组织已越来越谨慎

语言: CN / TW / HK

据称由朝鲜政府赞助的拉撒路黑客组织已部署新病毒来窃取加密货币。

大型网络安全公司卡巴斯基(Kaspersky)于1月8日报告称,拉撒路已加倍努力感染Mac和Windows用户的计算机。

正如卡巴斯基在2018年8月下旬报道的那样,该组织一直在使用一种名为QtBitcoinTrader的经过修改的开源加密货币交易界面,以所谓的“AppleJeus操作”来传递和执行恶意代码。现在,该公司报告说Lazarus已开始对恶意软件进行更改。

卡巴斯基确定了一种新的macOS和Windows病毒,名为UnionCryptoTrader,该病毒基于先前检测到的版本。 针对Mac用户的另一种新恶意软件称为MarkMakingBot。这家网络安全公司指出,Lazarus一直在调整MarkMakingBot,并推测它是“对其macOS恶意软件进行重大更改的中间阶段”。

研究人员还发现Windows计算机被称为WFCUpdater的恶意文件感染,但无法识别初始安装程序。 卡巴斯基说,感染是从.NET恶意软件开始的,该恶意软件伪装成WFC钱包更新程序,并通过虚假网站进行分发。

在执行该组的命令并永久安装有效负载之前,该恶意软件分多个阶段感染了PC。

人们发现Windows版本的UnionCryptoTrader是从Telegram的下载文件夹中执行的,这使研究人员相信“充满信心,该演员使用Telegram Messenger发送了操纵的安装程序。”

相信Telegram被用来传播恶意软件的另一个原因是,假冒网站上存在Telegram组。该程序的界面具有图形界面,显示了几种加密货币交易所的比特币(BTC)价格。

Windows版本的UnionCryptoTrader会启动受污染的Internet Explorer进程,然后将其用于执行攻击者的命令。卡巴斯基在英国,波兰,俄罗斯和中国检测到上述恶意软件的实例。该报告显示:“我们认为,拉撒路组织对金融利益的持续攻击不太可能在短期内停止。假设这种针对加密货币业务的攻击将持续下去,并变得更加复杂。”

Lazarus长期以来一直以加密用户为目标。2018年10月,Cointelegraph报告称,自2017年初以来,该组织共窃取了惊人的5.71亿美元加密货币。

卡巴斯基(Kaspersky)在2019年3月的报告表明,该组织针对加密货币用户的努力仍在继续,其策略也在不断发展。此外,该组织的macOS病毒也在去年10月得到了增强。

分享到: