Північнокорейське хакерське угруповання Lazarus обманом змушує членів криптоспільноти завантажувати шкідливий ZIP-архів під назвою “Cross-platform Bridges.zip”, що імітує арбітражного бота, призначеного для автоматичного отримання прибутку
Північнокорейське хакерське угруповання Lazarus поширило на macOS Apple нову шкідливу програму, націлену на блокчейн-інженерів однієї з криптовалютних біржових платформ. Хитре шкідливе ПЗ, що отримало назву “KandyKorn”, являє собою бекдор, що дає змогу витягувати дані, завантажувати/вивантажувати файли, безпечно видаляти їх, завершувати процеси та виконувати команди. Аналіз проводили фахівці компанії Elastic Security Labs.
Щоб зрозуміти суть процесу, розглянемо схему, представлену компанією Elastic Security Labs, яка відображає хід роботи шкідливої програми. Спочатку зловмисники поширюють модулі мовою Python через канали Discord, маскуючись під учасників спільноти.
Елемент маніпуляції полягає в тому, що учасників спільноти змушують завантажити оманливий ZIP-файл під назвою “Cross-platform Bridges.zip”, що дзеркально відображає роботу автоматичного арбітражного бота, створеного для отримання максимального прибутку.
Насправді цей файл складається з 13 шкідливих модулів, які працюють в унісон, викрадаючи та модифікуючи дані. В аналітичному звіті йдеться:
“Загрозливий агент застосував незнайому, але ефективну техніку постійного прориву в macOS, звану перехопленням потоку виконання”.
Lazarus, як і раніше, розглядає криптовалютний сектор як свою основну мету. При цьому головною мотивацією для зловмисників є фінансова вигода, а не шпигунство.
Існування KandyKorn свідчить про те, що Lazarus тримає під прицілом macOS, демонструючи похвальне вміння угруповання розробляти складні й непомітні шкідливі програми, призначені спеціально для комп’ютерів Apple.
В одному з недавніх інцидентів експлойтер почав зливати $2,1 млн за допомогою протоколу Onyx на Tornado Cash. Популярний Telegram-бот Unibot, який використовували для визначення можливостей торгівлі на децентралізованій біржі Uniswap, став жертвою експлойта, який протягом години обвалив ціну токена на 40%.
Користувачі Unibot були попереджені про злом аналітичною компанією Scopescan, що спеціалізується на аналізі блокчейна. У підсумку факт злому було підтверджено офіційним джерелом:
“Ми виявили експлойт для схвалення токенів у нашому новому маршрутизаторі та тимчасово зупинили роботу сервісу для вирішення проблеми”.
Компанія Unibot пообіцяла відшкодувати збитки всім користувачам, які зазнали втрат унаслідок використання експлойта.
Вам може бути цікаво:
- Криптоміксери та криптотумблери: як вони працюють і чим відрізняються
- Найкращі криптовалюти для денного трейдингу
- Що таке ліквідація у трейдингу та як її уникнути