Il Gruppo Lazarus colpisce ancora. Sta prendendo di mira gli utenti di criptovalute e svuota i loro portafogli se utilizzano un computer con sistema operativo Windows.

Il gruppo di hacker nordcoreani Lazarus ha colpito ancora. Secondo un documento pubblicato da Volexity, hanno lanciato una campagna che prende di mira gli utenti di criptovalute e le organizzazioni con una variante del malware AppleJeus. I criminali informatici utilizzano un sito web a tema criptovalute con contenuti provenienti da un sito legittimo. I visitatori di questo sito falso sono indotti a scaricare un’applicazione che in realtà installa una DLL, la quale successivamente installa il malware AppleJeus sul PC Windows delle vittime. Quest’ultimo accede a Internet e ruba le loro criptovalute. Il malware in questione è ben noto alle autorità per la criminalità informatica. Secondo quanto riferito, è apparso sul loro radar già nel 2018. Tuttavia, la versione utilizzata in questa campagna è diversa.

La campagna di phishing lanciata da Lazarus sarebbe iniziata nel giugno 2022 e si sarebbe protratta per diversi mesi. Gli hacker avrebbero utilizzato il dominio “BloxHolder”, che copia il contenuto della piattaforma di trading di criptovalute HaasOnline. Il sito degli hacker sosteneva di distribuire un’applicazione legittima chiamata QTBitcoinTrader. In realtà, quest’ultimo era infestato da malware. Gli hacker hanno poi evoluto il loro concetto: invece di offrire un programma di installazione del malware, hanno inserito il loro virus in un file Excel chiamato “OKX Binance & Huobi VIP fee comparision.xls”. Questo conteneva una macro che creava tre file sui computer delle vittime.

Il virus viene installato attraverso una macro inserita in un file excel

Una volta installato, il malware raccoglie l’indirizzo MAC, il nome del computer e la versione del sistema operativo dell’obiettivo e li invia a un centro di controllo. Secondo i ricercatori, la novità della tecnica utilizzata dagli hacker sta nel fatto che le DLL vengono caricate attraverso procedure autorizzate da Windows, il che impedisce ai software antivirus di rilevare la loro azione dannosa.

Lazarus è salito alla ribalta per la prima volta nel 2017 con il famigerato WannaCry, che ha devastato migliaia di PC. È inoltre accusata di aver commesso il più grande furto di criptovalute di tutti i tempi. Washington offre una taglia di 5 milioni di dollari a chiunque possa fornire informazioni per fermare le loro attività.

Articolo precedenteGalaxy S20 FE 5G e Galaxy A32 4G si aggiornano ad Android 13
Articolo successivoGoogle Foto, nuovo pulsante potrebbe sostituisce Google Lens