Контакты
Подписка 2025
ITSEC 2025
Защищенный удаленный доступ к ИТ-инфраструктуре. Обсуждаем решения 3 июля на онлайн-конференции
Регистрируйтесь и участвуйте!

Хакеры из КНДР сделали инструмент кражи данных из Uniswap Sniper Bot

22/01/25

cryptocurrency14

Команда 360 Advanced Threat Research Institute обнаружила новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами — Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей, пишет Securitylab.

Группа Lazarus ( APT -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели — финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи хакеров — кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.

В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.

Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная маскировка позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.

Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.

Для атаки использовались три основных вредоносных модуля:

  • n2pay — для мониторинга системы, кражи файлов и выполнения команд;
  • n2bow — для кражи данных из браузеров;
  • n2mlip — для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.

Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.

Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.

Темы:криптовалютаКНДРхищение данных
КИИ
Как минимизировать киберриски и обеспечить непрерывность бизнеса: управление инцидентами
Узнайте на конференции 31 июля →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Отечественное ПО для объектов КИИ
Участвуйте 23 июля →

Еще темы...

More...