20/04/22
Агентство кибербезопасности и безопасности инфраструктуры США (CISA), ФБР и Министерство финансов США предупредили об атаках северокорейской хакерской группировки Lazarus на организации в сфере криптовалют и блокчейна с помощью вредоносных криптовалютных приложений.
С помощью этих приложений они получают доступ к компьютерам жертв, распространяют по сетям вредоносное ПО и похищают закрыты ключи, позволяющие инициировать мошеннические транзакции в блокчейне и похищать криптовалютные активы из кошельков.
«Проникновение начинается с большого количества целенаправленных фишинговых сообщений, которые рассылаются сотрудникам криптовалютных компаний, как правило, системным администраторам или сотрудникам отдела разработки/IT-операций (DevOps), через различные коммуникационные платформы. Сообщения часто подделываются под предложения высокооплачиваемой работы, чтобы заставить получателя загрузить вредоносные криптовалютные приложения, называемые правительством США TraderTraitor», – сообщается в совместном уведомлении CISA, ФБР и Минфина США.
TraderTraitor представляет собой набор кроссплатформенных приложений на базе Electron, созданных с помощью JavaScript и Node.js. Полезная нагрузка приложений включает обновленные macOS- и Windows-версии Manuscrypt – кастомизированного трояна для удаленного доступа (RAT), который собирает системную информацию и спосбен выполнять произвольные команды и загружать дополнительное вредоносное ПО.
Список приложений TraderTraitor:
- DAFOM: «криптовалютное портфолио» (macOS);
- TokenAIS: якобы помогает «создать портфолио трейдинга на базе ИИ» для криптовалют (macOS);
- CryptAIS: якобы помогает «создать портфолио трейдинга на базе ИИ» (macOS);
- AlticGO: якобы предоставляет курс криптовалют в режиме реального времени и прогнозирует его колебания (Windows);
- Esilet: якобы предоставляет курс криптовалют в режиме реального времени и прогнозирует его колебания (macOS);
- CreAI Deck: якобы является платформой для «искусственного интеллекта и глубокого обучения» (Windows и macOS).
