Команда 360 Advanced Threat Research Institute обнаружила новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами — Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей, пишет Securitylab.
Группа Lazarus ( APT -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели — финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи хакеров — кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.
В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.
Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная маскировка позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.
Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.
Для атаки использовались три основных вредоносных модуля:
Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.
Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.