卡巴斯基:針對加密領域的朝鮮黑客組織已越來越謹慎

芒信財經 發佈 2020-01-10T13:21:42+00:00

的那樣,該組織一直在使用一種名為QtBitcoinTrader的經過修改的開源加密貨幣交易介面,以所謂的``AppleJeus操作''來傳遞和執行惡意代碼。現在,該公司報告說Lazarus已開始對惡意軟體進行更改。卡巴斯基確定了一種新的macOS和Windows病毒,名為Unio


據稱由朝鮮政府贊助的拉撒路黑客組織已部署新病毒來竊取加密貨幣。

大型網絡安全公司卡巴斯基(Kaspersky)於1月8日報告稱,拉撒路已加倍努力感染Mac和Windows用戶的計算機。

正如卡巴斯基在2018年8月下旬報導的那樣,該組織一直在使用一種名為QtBitcoinTrader的經過修改的開源加密貨幣交易介面,以所謂的``AppleJeus操作''來傳遞和執行惡意代碼。現在,該公司報告說Lazarus已開始對惡意軟體進行更改。

卡巴斯基確定了一種新的macOS和Windows病毒,名為UnionCryptoTrader,該病毒基於先前檢測到的版本。 針對Mac用戶的另一種新惡意軟體稱為MarkMakingBot。這家網絡安全公司指出,Lazarus一直在調整MarkMakingBot,並推測它是「對其macOS惡意軟體進行重大更改的中間階段」。

研究人員還發現Windows計算機被稱為WFCUpdater的惡意文件感染,但無法識別初始安裝程序。 卡巴斯基說,感染是從.NET惡意軟體開始的,該惡意軟體偽裝成WFC錢包更新程序,並通過虛假網站進行分發。

在執行該組的命令並永久安裝有效負載之前,該惡意軟體分多個階段感染了PC。

人們發現Windows版本的UnionCryptoTrader是從Telegram的下載文件夾中執行的,這使研究人員相信「充滿信心,該演員使用Telegram Messenger發送了操縱的安裝程序。」

相信Telegram被用來傳播惡意軟體的另一個原因是,假冒網站上存在Telegram組。該程序的介面具有圖形介面,顯示了幾種加密貨幣交易所的比特幣(BTC)價格。


Windows版本的UnionCryptoTrader會啟動受污染的Internet Explorer進程,然後將其用於執行攻擊者的命令。卡巴斯基在英國,波蘭,俄羅斯和中國檢測到上述惡意軟體的實例。該報告顯示:「我們認為,拉撒路組織對金融利益的持續攻擊不太可能在短期內停止。假設這種針對加密貨幣業務的攻擊將持續下去,並變得更加複雜。」

Lazarus長期以來一直以加密用戶為目標。2018年10月,Cointelegraph報告稱,自2017年初以來,該組織共竊取了驚人的5.71億美元加密貨幣。

卡巴斯基(Kaspersky)在2019年3月的報告表明,該組織針對加密貨幣用戶的努力仍在繼續,其策略也在不斷發展。此外,該組織的macOS病毒也在去年10月得到了增強。

關鍵字: