Lazarus volta com novos aplicativos de criptografia falsos sob a marca BloxHolder

Lazarus volta com novos aplicativos de criptografia falsos sob a marca BloxHolder
Todos conhecemos o nome grupo Lazarus, o grupo APT patrocinado pela Coreia do Norte. É bem conhecido por surgir com esquemas inovadores para aproveitar ao máximo suas campanhas. Os pesquisadores da Volexity encontraram uma campanha recente que usa aplicativos falsos de criptomoeda, sob a marca falsa BloxHolder.
Compartilhe

Todos conhecemos o nome grupo Lazarus, o grupo APT patrocinado pela Coreia do Norte. É bem conhecido por surgir com esquemas inovadores para aproveitar ao máximo suas campanhas. Os pesquisadores da Volexity encontraram uma campanha recente que usa aplicativos falsos de criptomoeda, sob a marca falsa BloxHolder.

Mergulhando nos detalhes

BloxHolder é uma marca inventada sob a qual o grupo Lazarus está propagando seus falsos aplicativos de criptomoeda para, finalmente, implantar o malware AppleJeus. O objetivo é obter acesso inicial às redes e roubar ativos de criptomoeda.

  • A campanha foi iniciada em junho e durou até outubro. Lazarus usou o domínio bloxholder[.]com, uma cópia da plataforma automatizada de negociação criptográfica HaasOnline.
  • Inicialmente, o agente da ameaça usou o instalador MSI para entregar o AppleJeus, no entanto, mudou suas táticas em outubro para usar documentos do MS Office.

Por que isso importa

  • O grupo Lazarus usou o sideload de DLL para carregar o malware de um processo confiável, possivelmente para evitar a detecção e impedir a análise do malware.
  • Além disso, as strings e chamadas de API nas amostras recentes do AppleJeus são ofuscadas por meio de um algoritmo personalizado, garantindo que seja mais furtivo contra os protocolos de segurança.
  • Além do exposto, o objetivo do grupo Lazarus de continuar furtando ativos de criptomoeda permanece firme, com novos temas e conjuntos de ferramentas introduzidos em todas as campanhas para manter a discrição.

Mais sobre Lázaro

Em meados de novembro, a gangue Lazarus APT foi encontrada usando o malware DTrack para atacar organizações nos EUA, Alemanha, Índia, Itália, Brasil, Arábia Saudita, Turquia, México e Suíça.

  • Ele visava centros de pesquisa do governo, fabricantes de produtos químicos, prestadores de serviços públicos, institutos de políticas e outros.
  • Em outubro , o grupo Lazarus e o Mustang Panda foram encontrados usando o carregamento de DLL não assinado para evitar a detecção.
  • Nessa gangue em particular, os agentes de ameaças exploraram uma vulnerabilidade no OneDrive para plantar a carga principal que personificava uma biblioteca do OneDrive.

A linha de fundo

O esforço contínuo do grupo Lazarus para atingir os usuários de criptomoedas não mostra sinais de parar, apesar da recente atenção às suas campanhas e táticas. Em uma tentativa de evitar a detecção, o grupo até decidiu usar o sideload de DLL. Além disso, o uso de documentos do MS Office para implantar o AppleJeus não foi registrado antes.