Il team di hacker state-sponsored nordcoreano nota come Lazarus, è stata attribuita a un’altra campagna motivata finanziariamente che sfrutta un’app troianizzata di un portafoglio di finanza decentralizzata (DeFi) per distribuire una backdoor completa su sistemi Windows compromessi.
L’app, che è dotata di funzionalità per salvare e gestire un portafoglio di criptovalute, è anche progettata per innescare il lancio dell’impianto che può prendere il controllo dell’host infetto. La società russa di cybersicurezza Kaspersky ha dichiarato che ha incontrato per la prima volta l’applicazione canaglia a metà dicembre 2021.
Lo schema di infezione avviato dall’applicazione si traduce anche nella distribuzione del programma di installazione di un’applicazione legittima, che viene sovrascritto con una versione troianizzata nel tentativo di coprire le sue tracce. Detto questo, la via di accesso iniziale non è chiara, anche se si sospetta che sia un caso di ingegneria sociale.
Il malware generato, che si maschera come il browser web Chrome di Google, e lancia successivamente un’applicazione portafoglio costruita per la DeFiChain, mentre stabilisce anche connessioni a un dominio remoto controllato dall’attaccante e attende ulteriori istruzioni dal server.
Sulla base della risposta ricevuta dal server di comando e controllo (C2), il trojan procede ad eseguire una vasta gamma di comandi, garantendogli la capacità di raccogliere informazioni sul sistema, enumerare e terminare i processi, eliminare i file, lanciare nuovi processi e salvare file arbitrari sulla macchina.
L’infrastruttura C2 utilizzata in questa campagna consisteva esclusivamente in server web precedentemente compromessi situati in Corea del Sud, spingendo la società di cybersicurezza a lavorare con il team di risposta all’emergenza informatica del paese (KrCERT) per smantellare i server.
I risultati arrivano più di due mesi dopo che Kaspersky ha rivelato i dettagli di una campagna simile “SnatchCrypto” montata dal sottogruppo Lazarus rintracciato come BlueNoroff per drenare fondi digitali dai portafogli MetaMask delle vittime.
“Per l’attore della minaccia Lazarus, il guadagno finanziario è una delle motivazioni principali, con un’enfasi particolare sul business delle criptovalute. Mentre il prezzo delle criptovalute aumenta e la popolarità dei token non fungibili (NFT) e della finanza decentralizzata (DeFi) continua a crescere, l’obiettivo del gruppo Lazarus nel settore finanziario continua ad evolversi”, hanno sottolineato i ricercatori di Kaspersky GReAT.