Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

Хакеры из КНДР сделали инструмент кражи данных из Uniswap Sniper Bot

22/01/25

cryptocurrency14

Команда 360 Advanced Threat Research Institute обнаружила новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами — Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей, пишет Securitylab.

Группа Lazarus ( APT -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели — финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи хакеров — кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.

В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.

Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная маскировка позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.

Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.

Для атаки использовались три основных вредоносных модуля:

  • n2pay — для мониторинга системы, кражи файлов и выполнения команд;
  • n2bow — для кражи данных из браузеров;
  • n2mlip — для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.

Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.

Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.

Темы:криптовалютаКНДРхищение данных
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →
Статьи по темеСтатьи по теме

  • Сущность и риски NFT
    Александр Подобных, Независимый эксперт по ИБ в SICP.ueba.su
    NFT – это цифровые активы с запрограммированной редкостью, они идеально подходят для представления прав собственности на виртуальные активы

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...