حملات گروه لازاروس به کاربران ارزهای دیجیتال با استفاده از افزونههای مرورگر
گروه هکری کره شمالی لازاروس در سپتامبر 2024 با معرفی انواع جدیدی از بدافزارها که افزونههای مرورگر و برنامههای ویدئو کنفرانس را هدف قرار میدهند، حملات سایبری خود به بازار ارزهای دیجیتال را شدت بخشیده است، بر اساس گزارش اخیر شرکت امنیت سایبری Group-IB.
گزارش مذکور شرح میدهد که چگونه این گروه تمرکز خود را گسترش داده است تا این پلتفرمها را شامل شود و از انواع بدافزارهای پیچیدهتری استفاده میکند.
حملات افزونه مرورگر گروه لازاروس
علاوه بر کمپین «مصاحبه واگیر» که جویندگان کار را به دانلود بدافزارهای جایگزین شده با کارهای مرتبط با شغل فریب میداد، گروه لازاروس اکنون حملات خود را به برنامههای جعلی ویدئو کنفرانس نیز گسترش داده است.
این طرح اکنون به برگزاری برنامهای جعلی به نام “FCCCall” تکامل یافته است که نرمافزارهای مشروع را شبیهسازی میکند.
پس از نصب، برنامه بدافزار BeaverTail را گسترش میدهد. این بدافزار برای سرقت اعتبارنامهها از مرورگرها و دادهها از کیفپولهای ارز دیجیتال از طریق افزونههای مرورگر طراحی شده است.
سپس یک درب پشتی مبتنی بر پایتون به نام “InvisibleFerret” نصب میکند که سیستم قربانی را بیشتر به خطر میاندازد.
این جدیدترین کمپین بر تأکید روزافزون گروه بر افزونههای کیفپول ارز دیجیتال مانند MetaMask، Coinbase، BNB Chain Wallet، TON Wallet و Exodus Web3 تمرکز دارد.
تحلیلگران Group-IB اشاره میکنند که گروه اکنون طیف وسیعی از برنامهها از جمله MetaMask و Coinbase را هدف قرار میدهد.
با استفاده از جاوااسکریپت مخرب، آنها قربانیان را به دانلود نرمافزار تحت پوشش مرور یا وظایف تحلیلی فریب میدهند.
محققان Group-IB یک مجموعه جدید از اسکریپتهای پایتون به نام “CivetQ” را به عنوان بخشی از تجهیزات در حال تکامل این گروه شناسایی کردهاند.
این اسکریپتها نشاندهنده تغییری در تاکتیکها برای هدفگیری حرفهایهای بلاکچین از طریق پلتفرمهای جستجوی کار مانند WWR، Moonlight و Upwork هستند.
پس از ایجاد تماس اولیه، هکرها معمولاً گفتگو را به تلگرام منتقل میکنند. آنها قربانیان را به دانلود برنامه ویدئو کنفرانس جعلی یا پروژه Node.js فریب میدهند و ادعا میکنند که این برای مصاحبه شغلی فنی است.
تهدید فزاینده گروه لازاروس برای ارزهای دیجیتال و بهرهبرداری اخیر از آسیبپذیریهای مایکروسافت ویندوز
گروه لازاروس همچنان در بخش ارزهای دیجیتال مورد نگرانی است، به ویژه با بهرهبرداری اخیر از آسیبپذیریهای مایکروسافت ویندوز.
گروه روشهای خود را بهبود بخشیده است، سختتر کردن شناسایی نرمافزارهای مضر با پنهان کردن کدهای مخرب به روشهای جدید و پیچیدهتر.
این تشدید با روندهای گستردهتری که توسط اداره تحقیقات فدرال (FBI) مشاهده شده است، مطابقت دارد، که اخیراً هشدار داده است که هکرهای کره شمالی کارکنان در بخشهای مالی غیرمتمرکز و ارزهای دیجیتال را با کمپینهای مهندسی اجتماعی کاملاً تخصصی هدف قرار میدهند.
این کمپینها برای نفوذ به سیستمهای حتی امنترین سازمانها طراحی شدهاند و تهدیدی مداوم برای سازمانهای دارای داراییهای قابل توجه ارز دیجیتال ایجاد میکنند.
در یک توسعه مرتبط، گروه لازاروس ظاهراً از یک آسیبپذیری صفر روزه مایکروسافت ویندوز بهرهبرداری کرده است.
آسیبپذیری که به عنوان CVE-2024-38193 (امتیاز CVSS: 7.8) پیگیری میشد، به عنوان یک مشکل ارتقاء امتیاز در درایور عملکردهای فرعی ویندوز (AFD.sys) برای WinSock شناسایی شد.
دو محقق، لوئیجینو کاماسترا و میلانک، این مشکل امنیتی را کشف کردند که اجازه میداد هکرها به بخشهای محدود سیستمهای کامپیوتری بدون شناسایی دسترسی پیدا کنند.
مایکروسافت این مشکل را به عنوان بخشی از بهروزرسانی ماهانه خود در سپتامبر 2024 رفع کرد.