Группа хакеров из Северной Кореи распространила через программу-загрузчик новый тип вредоносного программного обеспечения, намереваясь скомпрометировать криптовалютную биржу.
Аналитики компании Elastic Security Labs, занимающейся вопросами кибербезопасности, обнаружили новый тип вредоносного ПО, который хакеры из Lazarus Group попытались использовать для взлома криптобиржи, название которой не указывается. Аналитики назвали новый вирус Kandykorn.
Атака началась с того, что злоумышленники использовали методы социальной инженерии, наладив контакт с разработчиками торговой площадки через Discord. Им удалось убедить представителей биржи попробовать функционал якобы разработанного ими нового прибыльного арбитражного бота.
Так, хакерам удалось убедить команду криптобиржи загрузить ZIP-архив с файлами для установки программы, в котором помимо типичных для арбитражного бота файлов находился и вредоносный файл. Этот файл после запуска программы установил связь с удаленным аккаунтом Google Drive и позволил хакерам загрузить специфическую программу-загрузчик, которой аналитики Elastic дали название Sugarloader. После ее загрузки все остальные вредоносные файлы были удалены.
Sugarloader позволяет хакерам обойти большинство программ обнаружения вредоносного ПО. Аналитики Elastic утверждают, что сервис-детектор VirusTotal не идентифицировал Sugarloader как вредоносный файл. Обнаружить его команда смогла лишь остановив программу после вызова функций инициализации и сделав снимок виртуальной памяти процесса.
Именно Sugarloader позволил киберпреступникам из Lazarus Group установить соединение с удаленным сервером и загрузить Kandykorn напрямую в память устройства. Новый вирус содержит множество функций, которые дают хакерам практически неограниченный доступ к зараженному компьютеру. Злоумышленники могут незаметно для пользователя загружать файлы с удаленного сервера, а также удалять или заменять файлы на диске.
Аналитики Elastic считают, что хакеры использовали Kandykorn еще в апреле 2023 года и вредоносное ПО до сих пор находится на сервере криптобиржи.
Напомним, киберпреступники, связанные с Северной Кореей, украли около $3,54 млрд в криптовалюте за последние восемь лет, стоя за каждой третьей атакой на криптопроекты. Компании CoinsPaid удалось раскрыть методы взлома и отмывания украденных активов Lazarus Group, а генеральный директор компании Match Systems рассказал как проводятся расследования хакерских атак в Web3-пространстве.
