حملات گروه لازاروس به کاربران ارزهای دیجیتال با استفاده از افزونه‌های مرورگر

گروه هکری کره شمالی لازاروس در سپتامبر 2024 با معرفی انواع جدیدی از بدافزارها که افزونه‌های مرورگر و برنامه‌های ویدئو کنفرانس را هدف قرار می‌دهند، حملات سایبری خود به بازار ارزهای دیجیتال را شدت بخشیده است، بر اساس گزارش اخیر شرکت امنیت سایبری Group-IB.

گزارش مذکور شرح می‌دهد که چگونه این گروه تمرکز خود را گسترش داده است تا این پلتفرم‌ها را شامل شود و از انواع بدافزارهای پیچیده‌تری استفاده می‌کند.

حملات افزونه مرورگر گروه لازاروس

علاوه بر کمپین «مصاحبه واگیر» که جویندگان کار را به دانلود بدافزارهای جایگزین شده با کارهای مرتبط با شغل فریب می‌داد، گروه لازاروس اکنون حملات خود را به برنامه‌های جعلی ویدئو کنفرانس نیز گسترش داده است.

این طرح اکنون به برگزاری برنامه‌ای جعلی به نام “FCCCall” تکامل یافته است که نرم‌افزارهای مشروع را شبیه‌سازی می‌کند.

پس از نصب، برنامه بدافزار BeaverTail را گسترش می‌دهد. این بدافزار برای سرقت اعتبارنامه‌ها از مرورگرها و داده‌ها از کیف‌پول‌های ارز دیجیتال از طریق افزونه‌های مرورگر طراحی شده است.

سپس یک درب پشتی مبتنی بر پایتون به نام “InvisibleFerret” نصب می‌کند که سیستم قربانی را بیشتر به خطر می‌اندازد.

این جدیدترین کمپین بر تأکید روزافزون گروه بر افزونه‌های کیف‌پول ارز دیجیتال مانند MetaMask، Coinbase، BNB Chain Wallet، TON Wallet و Exodus Web3 تمرکز دارد.

تحلیل‌گران Group-IB اشاره می‌کنند که گروه اکنون طیف وسیعی از برنامه‌ها از جمله MetaMask و Coinbase را هدف قرار می‌دهد.

با استفاده از جاوااسکریپت مخرب، آن‌ها قربانیان را به دانلود نرم‌افزار تحت پوشش مرور یا وظایف تحلیلی فریب می‌دهند.

محققان Group-IB یک مجموعه جدید از اسکریپت‌های پایتون به نام “CivetQ” را به عنوان بخشی از تجهیزات در حال تکامل این گروه شناسایی کرده‌اند.

این اسکریپت‌ها نشان‌دهنده تغییری در تاکتیک‌ها برای هدف‌گیری حرفه‌ای‌های بلاکچین از طریق پلتفرم‌های جستجوی کار مانند WWR، Moonlight و Upwork هستند.

پس از ایجاد تماس اولیه، هکرها معمولاً گفتگو را به تلگرام منتقل می‌کنند. آن‌ها قربانیان را به دانلود برنامه ویدئو کنفرانس جعلی یا پروژه Node.js فریب می‌دهند و ادعا می‌کنند که این برای مصاحبه شغلی فنی است.

تهدید فزاینده گروه لازاروس برای ارزهای دیجیتال و بهره‌برداری اخیر از آسیب‌پذیری‌های مایکروسافت ویندوز

گروه لازاروس همچنان در بخش ارزهای دیجیتال مورد نگرانی است، به ویژه با بهره‌برداری اخیر از آسیب‌پذیری‌های مایکروسافت ویندوز.

گروه روش‌های خود را بهبود بخشیده است، سخت‌تر کردن شناسایی نرم‌افزارهای مضر با پنهان کردن کدهای مخرب به روش‌های جدید و پیچیده‌تر.

این تشدید با روندهای گسترده‌تری که توسط اداره تحقیقات فدرال (FBI) مشاهده شده است، مطابقت دارد، که اخیراً هشدار داده است که هکرهای کره شمالی کارکنان در بخش‌های مالی غیرمتمرکز و ارزهای دیجیتال را با کمپین‌های مهندسی اجتماعی کاملاً تخصصی هدف قرار می‌دهند.

این کمپین‌ها برای نفوذ به سیستم‌های حتی امن‌ترین سازمان‌ها طراحی شده‌اند و تهدیدی مداوم برای سازمان‌های دارای دارایی‌های قابل توجه ارز دیجیتال ایجاد می‌کنند.

در یک توسعه مرتبط، گروه لازاروس ظاهراً از یک آسیب‌پذیری صفر روزه مایکروسافت ویندوز بهره‌برداری کرده است.

آسیب‌پذیری که به عنوان CVE-2024-38193 (امتیاز CVSS: 7.8) پیگیری می‌شد، به عنوان یک مشکل ارتقاء امتیاز در درایور عملکردهای فرعی ویندوز (AFD.sys) برای WinSock شناسایی شد.

دو محقق، لوئیجینو کاماسترا و میلانک، این مشکل امنیتی را کشف کردند که اجازه می‌داد هکرها به بخش‌های محدود سیستم‌های کامپیوتری بدون شناسایی دسترسی پیدا کنند.

مایکروسافت این مشکل را به عنوان بخشی از به‌روزرسانی ماهانه خود در سپتامبر 2024 رفع کرد.

خروج از نسخه موبایل