15.3 C
Rome
lunedì, Settembre 26, 2022

Lazarus diffonde app DeFi trojanizzate per rubare criptovalute

IMMEDIAPRESSLazarus diffonde app DeFi trojanizzate per rubare criptovalute

(Adnkronos) – Milano, 31marzo 2022.Lazarus, gruppo APT noto per le motivazioni finanziarie da cui è mosso, ha colpito il settore delle criptovalute attraverso dei Trojan rivolti a nuove app di finanza decentralizzata (DeFi) per aumentare i profitti. Lazarus si serve di applicazioni legittime utilizzate per gestire i portafogli di criptovalute e, tramite esse, diffonde malware che gli conferiscono il controllo sui sistemi delle vittime.
 

Il gruppo Lazarus, attivo almeno dal 2009, è fra gli attori APT più prolifici al mondo. Contrariamente alla maggior parte dei gruppi APT sponsorizzati dallo stato, Lazarus ed altri threat actor associati a questo APT hanno fatto del guadagno finanziario uno dei loro obiettivi principali. E mentre il mercato delle criptovalute continua a crescere, insieme al mercato dei non-fungible token (NFT) e della finanza decentralizzata (DeFi), Lazarus mette a punto nuovi modi per prendere di mira gli utenti delle criptovalute. 

A dicembre del 2021, i ricercatori di Kaspersky hanno scoperto una nuova campagna di malware che, sfruttando un’applicazione DeFi trojanizzata diffusa dal gruppo Lazarus, colpiva il settore della criptovalute. L’applicazione conteneva un programma legittimo chiamato DeFi Wallet in grado di salvare e gestire i portafogli di criptovalute. Una volta eseguita l’app, insieme al programma di installazione dell’applicazione legittima, veniva rilasciato un file dannoso, lanciando il malware attraverso un percorso di installazione trojanizzato. Questo malware generato sovrascriveva poi l’applicazione legittima con l’applicazione troianizzata.  

Il malware impiegato in questo schema di infezione è una backdoor ricca di funzionalità, in grado di controllare i sistemi della vittima da remoto. Nel momento in cui ha preso il controllo del sistema, l’attaccante riesce a cancellare file, raccogliere informazioni, collegarsi ad indirizzi IP specifici e comunicare con il server C2. Basandosi sui precedenti attacchi di Lazarus, i ricercatori stimano che le ragioni dietro queste attività criminali siano di natura finanziaria. Dopo aver esaminato le funzionalità di questa backdoor, i ricercatori di Kaspersky hanno scoperto numerose sovrapposizioni con altri strumenti utilizzati dal gruppo Lazarus, in particolare con i cluster di malware CookieTime e ThreatNeedle. Anche lo schema di infezione multistadio è tipico dell’infrastruttura di Lazarus. 

Seongsu Park, senior security researcher del Kaspersky Global Research and Analysis Team (GReAT), ha affermato: “Abbiamo analizzato l’interesse di Lazarus verso il settore delle criptovalute e abbiamo notato che sono riusciti a sviluppare metodi sofisticati per adescare le loro vittime senza tuttavia richiamare l’attenzione sul processo di infezione. Le aziende di criptovalute e blockchain continuano ad evolversi e ad attrarre livelli più alti di investimento. Di conseguenza, attirano non solo scammer e phisher, ma anche i “big game hunter”, compresi i gruppi APT interessati a guadagni economici. Dal momento che il mercato delle criptovalute continua a crescere, crediamo fermamente che l’interesse di Lazarus verso questo settore non diminuirà facilmente. In una recente campagna, Lazarus ha sfruttato un’applicazione DeFi legittima, l’ha imitata e ha rilasciato un malware: è una tattica piuttosto comune usata nel crypto-hunting. Per questo motivo sollecitiamo le aziende affinché prestino attenzione a link sconosciuti e agli allegati delle email: anche se a un primo impatto possono sembrare innocui, potrebbero in realtà essere fraudolenti.” 

È possibile avere maggiori informazioni sulla nuova campagna di Lazarus a questo link: Securelist.com. 

Per evitare di finire vittima di attacchi mirati da parte di threat actor conosciuti o sconosciuti, i ricercatori di Kaspersky suggeriscono di adottare i seguenti accorgimenti:  

• Effettuare audit di cybersecurity e monitorare costantemente le reti per rimediare a qualsiasi debolezza o elemento malevolo scoperto nel perimetro o all’interno della rete. 

• Fornire ai propri dipendenti training base di cybersicurezza, dal momento svariati attacchi mirati iniziano proprio dal phishing o tramite altre tecniche di ingegneria sociale. 

• Sensibilizzare i propri dipendenti affinché scarichino solamente app da fonti certificate e da store ufficiali. 

• Utilizzare prodotti EDR per consentire il rilevamento tempestivo degli incidenti e rispondere alle minacce avanzate. Un servizio come Kaspersky Managed Detection and Response permette capacità di threat hunting contro gli attacchi mirati.  

• Implementare soluzioni antifrode che possano proteggere le transazioni di criptovaluta rilevando e prevenendo il furto di conti, le transazioni sconosciute e il riciclaggio di denaro. 

Informazioni su Kaspersky
 

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L’ampio portfolio di soluzioni di sicurezza dell’azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/
 

Seguici su:
 


 

http://www.facebook.com/kasperskylabitalia
 

https://www.linkedin.com/company/kaspersky-lab-italia
 

https://www.instagram.com/kasperskylabitalia/
 

https://t.me/KasperskyItalia
 

Contatto di redazione:
 

Noesis  

kaspersky@noesis.net
 

© RIPRODUZIONE RISERVATA

Condividi:

Potrebbe interessarti anche:

Articoli più letti