Todos conhecemos o nome grupo Lazarus, o grupo APT patrocinado pela Coreia do Norte. É bem conhecido por surgir com esquemas inovadores para aproveitar ao máximo suas campanhas. Os pesquisadores da Volexity encontraram uma campanha recente que usa aplicativos falsos de criptomoeda, sob a marca falsa BloxHolder.
Mergulhando nos detalhes
BloxHolder é uma marca inventada sob a qual o grupo Lazarus está propagando seus falsos aplicativos de criptomoeda para, finalmente, implantar o malware AppleJeus. O objetivo é obter acesso inicial às redes e roubar ativos de criptomoeda.
- A campanha foi iniciada em junho e durou até outubro. Lazarus usou o domínio bloxholder[.]com, uma cópia da plataforma automatizada de negociação criptográfica HaasOnline.
- Inicialmente, o agente da ameaça usou o instalador MSI para entregar o AppleJeus, no entanto, mudou suas táticas em outubro para usar documentos do MS Office.
Por que isso importa
- O grupo Lazarus usou o sideload de DLL para carregar o malware de um processo confiável, possivelmente para evitar a detecção e impedir a análise do malware.
- Além disso, as strings e chamadas de API nas amostras recentes do AppleJeus são ofuscadas por meio de um algoritmo personalizado, garantindo que seja mais furtivo contra os protocolos de segurança.
- Além do exposto, o objetivo do grupo Lazarus de continuar furtando ativos de criptomoeda permanece firme, com novos temas e conjuntos de ferramentas introduzidos em todas as campanhas para manter a discrição.
Mais sobre Lázaro
Em meados de novembro, a gangue Lazarus APT foi encontrada usando o malware DTrack para atacar organizações nos EUA, Alemanha, Índia, Itália, Brasil, Arábia Saudita, Turquia, México e Suíça.
- Ele visava centros de pesquisa do governo, fabricantes de produtos químicos, prestadores de serviços públicos, institutos de políticas e outros.
- Em outubro , o grupo Lazarus e o Mustang Panda foram encontrados usando o carregamento de DLL não assinado para evitar a detecção.
- Nessa gangue em particular, os agentes de ameaças exploraram uma vulnerabilidade no OneDrive para plantar a carga principal que personificava uma biblioteca do OneDrive.
A linha de fundo
O esforço contínuo do grupo Lazarus para atingir os usuários de criptomoedas não mostra sinais de parar, apesar da recente atenção às suas campanhas e táticas. Em uma tentativa de evitar a detecção, o grupo até decidiu usar o sideload de DLL. Além disso, o uso de documentos do MS Office para implantar o AppleJeus não foi registrado antes.
5 thoughts on “Lazarus volta com novos aplicativos de criptografia falsos sob a marca BloxHolder”
Comments are closed.