Северокорейская хакерская группировка Lazarus обманом вынуждает членов криптосообщества загружать вредоносный ZIP-архив под названием «Cross-platform Bridges.zip», имитирующий арбитражного бота, предназначенного для автоматического получения прибыли
Фото: pixabay.com
Северокорейская хакерская группировка Lazarus распространила на macOS Apple новую вредоносную программу, нацеленную на блокчейн-инженеров одной из криптовалютных биржевых платформ. Хитрое вредоносное ПО, получившее название «KandyKorn», представляет собой бэкдор, позволяющий извлекать данные, загружать/выгружать файлы, безопасно удалять их, завершать процессы и выполнять команды. Анализ проводили специалисты компании Elastic Security Labs.
Чтобы понять суть процесса, рассмотрим схему, представленную компанией Elastic Security Labs и отражающую ход работы вредоносной программы. Изначально злоумышленники распространяют модули на языке Python через каналы Discord, маскируясь под участников сообщества.
Элемент манипуляции заключается в том, что участников сообщества заставляют загрузить вводящий в заблуждение ZIP-файл под названием «Cross-platform Bridges.zip», зеркально отражающий работу автоматического арбитражного бота, созданного для извлечения максимальной прибыли.
На самом деле этот файл состоит из 13 вредоносных модулей, которые работают в унисон, похищая и модифицируя данные. В аналитическом отчете говорится:
«Угрожающий агент применил незнакомую, но эффективную технику постоянного прорыва в macOS, называемую перехватом потока выполнения».
Lazarus по-прежнему рассматривает криптовалютный сектор в качестве своей основной цели. При этом главной мотивацией для злоумышленников является финансовая выгода, а не шпионаж.
Существование KandyKorn свидетельствует о том, что Lazarus держит под прицелом macOS, демонстрируя похвальное умение группировки разрабатывать сложные и незаметные вредоносные программы, предназначенные специально для компьютеров Apple.
В одном из недавних инцидентов эксплойтер начал сливать $2,1 млн с помощью протокола Onyx на Tornado Cash. Популярный Telegram-бот Unibot, использовавшийся для определения возможностей торговли на децентрализованной бирже Uniswap, стал жертвой эксплойта, который в течение часа обрушил цену токена на 40%.
Пользователи Unibot были предупреждены о взломе аналитической компанией Scopescan, специализирующейся на анализе блокчейна. В итоге факт взлома был подтвержден официальным источником:
«Мы обнаружили эксплойт для одобрения токенов в нашем новом маршрутизаторе и временно остановили работу сервиса для решения проблемы».
Компания Unibot пообещала возместить убытки всем пользователям, которые понесли потери в результате использования эксплойта.
Вам может быть интересно:
- Криптомиксеры и криптотумблеры: как они работают и чем отличаются
- Лучшие криптовалюты для дневного трейдинга
- Что такое ликвидация в трейдинге и как ее избежать
