MILANO – Lazarus, gruppoAPT noto per le motivazioni finanziarie da cui è mosso, ha colpito il settore delle criptovaluteattraversodei Trojan rivolti a nuove appdi finanzadecentralizzata (DeFi) per aumentare i profitti. Lazarus si serve di applicazioni legittime utilizzate per gestire i portafogli di criptovalute e, tramite esse, diffonde malware che gli conferiscono il controllo sui sistemi delle vittime.
Il gruppo Lazarus, attivo almeno dal 2009, è fra gliattori APT più prolifici al mondo. Contrariamente alla maggior parte dei gruppi APT sponsorizzatidallo stato, Lazarus ed altri threat actor associati a questo APT hanno fatto del guadagno finanziariouno dei loro obiettivi principali. E mentre il mercato delle criptovalute continua a crescere, insieme al mercato dei non-fungible token (NFT) e della finanza decentralizzata (DeFi), Lazarus mette a punto nuovi modi per prendere di mira gli utenti delle criptovalute.
A dicembre del 2021, i ricercatori di Kaspersky hanno scoperto una nuova campagna di malware che, sfruttando un’applicazione DeFitrojanizzatadiffusa dal gruppo Lazarus, colpiva il settore della criptovalute.L’applicazione conteneva un programma legittimo chiamato DeFiWallet in grado di salvare e gestire i portafogli di criptovalute. Una volta eseguita l’app, insieme al programma di installazione dell’applicazione legittima,veniva rilasciato un file dannoso, lanciando il malware attraverso un percorso di installazione trojanizzato. Questo malware generato sovrascriveva poi l’applicazione legittima con l’applicazione troianizzata.
Il malware impiegato in questo schema di infezione è una backdoor ricca di funzionalità, in grado di controllare i sistemi della vittima da remoto. Nel momento in cui ha preso il controllo del sistema, l’attaccante riesce a cancellare file, raccogliere informazioni, collegarsi ad indirizzi IP specifici e comunicare con il server C2. Basandosi sui precedenti attacchi di Lazarus, i ricercatori stimano che le ragioni dietro queste attività criminali siano di natura finanziaria. Dopo aver esaminato le funzionalità di questa backdoor, i ricercatori di Kaspersky hanno scoperto numerose sovrapposizioni con altri strumenti utilizzati dal gruppo Lazarus, in particolare con i cluster di malware CookieTime e ThreatNeedle. Anche lo schema di infezione multistadio è tipico dell’infrastruttura di Lazarus.
Seongsu Park, senior security researcher del Kaspersky Global Research and Analysis Team (GReAT), ha affermato: “Abbiamo analizzato l’interesse di Lazarus verso il settore delle criptovalute e abbiamo notato che sono riusciti a sviluppare metodi sofisticati per adescare le loro vittime senza tuttavia richiamare l’attenzione sul processo di infezione. Le aziende di criptovalute e blockchain continuano ad evolversi e ad attrarre livelli più alti di investimento. Di conseguenza, attirano non solo scammer e phisher, ma anche i “big game hunter”, compresi i gruppi APT interessati a guadagni economici. Dal momento che il mercato delle criptovalute continua a crescere, crediamo fermamente che l’interesse di Lazarus verso questo settore non diminuirà facilmente. In una recente campagna, Lazarus ha sfruttato un’applicazione DeFi legittima, l’ha imitata e ha rilasciato un malware: è una tattica piuttosto comune usata nel crypto-hunting. Per questo motivo sollecitiamo le aziende affinché prestino attenzione a link sconosciuti e agli allegati delle email: anche se a un primo impatto possono sembrare innocui, potrebbero in realtà essere fraudolenti.”
Per evitare di finire vittima di attacchi mirati da parte di threat actor conosciuti o sconosciuti, i ricercatori di Kaspersky suggeriscono di adottare i seguenti accorgimenti:
- Effettuare audit di cybersecurity e monitorare costantementele reti per rimediare a qualsiasi debolezza o elemento malevolo scoperto nel perimetro o all’interno della rete.
- Fornire ai propri dipendenti training base di cybersicurezza, dal momento svariati attacchi mirati iniziano proprio dal phishing o tramite altre tecniche di ingegneria sociale.
- Sensibilizzare i propri dipendenti affinché scarichino solamente app da fonti certificate e da store ufficiali.
- Utilizzare prodotti EDR per consentire il rilevamento tempestivo degli incidenti e rispondere alle minacce avanzate. Un servizio come Kaspersky Managed Detection and Responsepermette capacità di threat hunting contro gli attacchi mirati.
- Implementare soluzioni antifrode che possano proteggere le transazioni di criptovaluta rilevando e prevenendo il furto di conti, le transazioni sconosciute e il riciclaggio di denaro.