Grup Lazarus, organisasi peretasan Korea Utara yang sebelumnya terkait dengan aktivitas kriminal, telah dikaitkan dengan skema serangan baru untuk menembus sistem dan mencuri mata uang kripto dari pihak ketiga. Kampanye, yang menggunakan versi modifikasi dari produk malware yang sudah ada bernama Applejeus, menggunakan situs crypto dan bahkan dokumen untuk mendapatkan akses ke sistem.
Malware Lazarus yang Dimodifikasi Menggunakan Situs Kripto sebagai Fasad
Volexity, perusahaan keamanan siber yang berbasis di Washington DC, telah menghubungkan Lazarus, grup peretasan Korea Utara yang telah disetujui oleh pemerintah AS, dengan ancaman yang melibatkan penggunaan situs kripto untuk menginfeksi sistem guna mencuri info dan mata uang kripto dari pihak ketiga.
Posting blog dikeluarkan pada 1 Desember mengungkapkan bahwa pada bulan Juni, Lazarus mendaftarkan domain bernama "bloxholder.com", yang nantinya akan ditetapkan sebagai bisnis yang menawarkan layanan perdagangan cryptocurrency otomatis. Menggunakan situs ini sebagai fasad, Lazarus meminta pengguna untuk mengunduh aplikasi yang berfungsi sebagai muatan untuk mengirimkan malware Applejeus, yang diarahkan untuk mencuri kunci pribadi dan data lain dari sistem pengguna.
Strategi yang sama telah digunakan oleh Lazarus sebelumnya. Namun, skema baru ini menggunakan teknik yang memungkinkan aplikasi untuk "membingungkan dan memperlambat" tugas deteksi malware.
Makro Dokumen
Volexity juga menemukan bahwa teknik pengiriman malware ini ke pengguna akhir berubah pada bulan Oktober. Metode tersebut berubah menjadi menggunakan dokumen Office, khususnya spreadsheet yang berisi makro, semacam program yang disematkan dalam dokumen yang dirancang untuk menginstal malware Applejeus di komputer.
Dokumen tersebut, diidentifikasi dengan nama “OKX Binance & Huobi VIP fee comparision.xls,” menampilkan manfaat yang seharusnya ditawarkan oleh masing-masing program VIP dari bursa ini pada level yang berbeda. Untuk mengurangi serangan semacam ini, disarankan untuk memblokir eksekusi makro dalam dokumen, dan juga memeriksa dan memantau pembuatan tugas baru di OS untuk mengetahui tugas baru yang tidak teridentifikasi yang berjalan di latar belakang. Namun, Veloxity tidak menginformasikan tingkat jangkauan yang dicapai kampanye ini.
Lazarus secara formal didakwa oleh Departemen Kehakiman AS (DOJ) pada Februari 2021, yang melibatkan seorang agen dari kelompok yang terkait dengan organisasi intelijen Korea Utara, Biro Umum Pengintaian (RGB). Sebelumnya, pada Maret 2020, DOJ didakwa dua warga negara China karena membantu pencucian lebih dari $100 juta mata uang kripto yang terkait dengan eksploitasi Lazarus.
Apa pendapat Anda tentang kampanye malware cryptocurrency terbaru Lazarus? Beri tahu kami di bagian komentar di bawah.
Kredit gambar: Shutterstock, Pixabay, Wiki Commons
Penolakan tanggung jawab: Artikel ini hanya untuk tujuan informasi. Ini bukan penawaran langsung atau permintaan penawaran untuk membeli atau menjual, atau rekomendasi atau pengesahan produk, layanan, atau perusahaan. Bitcoin.com tidak memberikan saran investasi, pajak, hukum, atau akuntansi. Baik perusahaan maupun penulis tidak bertanggung jawab, secara langsung atau tidak langsung, untuk setiap kerusakan atau kehilangan yang disebabkan atau diduga disebabkan oleh atau sehubungan dengan penggunaan atau kepercayaan pada konten, barang atau layanan yang disebutkan dalam artikel ini.
Sumber: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/