La campagne, qui utilise une version modifiée d’un malware déjà existant appelé Applegame, utilise un site de crypto-monnaie et même des documents pour accéder aux systèmes.
Le malware Lazarus modifié utilise un site de crypto comme façade
Volexity, une société de cybersécurité, a établi un lien entre Lazarus, un groupe de pirates nord-coréens déjà sanctionné par le gouvernement américain, et une menace impliquant l’utilisation d’un site cryptographique pour infecter des systèmes afin de voler des informations et des crypto-monnaies à des tiers.
Un billet de blog émis le 1er décembre a révélé qu’en juin, Lazarus a enregistré un domaine appelé « bloxholder.com« , qui sera plus tard établi comme une entreprise offrant des services de négociation automatique de crypto-monnaies. En utilisant ce site comme façade, Lazarus incitait les utilisateurs à télécharger une application qui servait de charge utile pour délivrer le malware Applegame, dirigé pour voler les clés privées et d’autres données des systèmes des utilisateurs.
La même stratégie a été utilisée par Lazarus auparavant. Cependant, ce nouveau schéma utilise une technique qui permet à l’application de « confondre et ralentir » les tâches de détection des logiciels malveillants.
Macros de documents
Volexity a également constaté que la technique de diffusion de ce malware aux utilisateurs finaux a changé en octobre. La méthode s’est transformée pour utiliser des documents Office, en particulier une feuille de calcul contenant des macros, une sorte de programme intégré dans les documents conçu pour installer le malware Applegame dans l’ordinateur.
Le document, identifié sous le nom de « OKX Binance & Huobi VIP fee comparision.xls« , présente les avantages que chacun des programmes VIP de ces bourses est censé offrir à ses différents niveaux. Pour atténuer ce type d’attaque, il est recommandé de bloquer l’exécution des macros dans les documents, et également de scruter et de surveiller la création de nouvelles tâches dans l’OS afin d’être au courant de nouvelles tâches non identifiées fonctionnant en arrière-plan. Cependant, Veloxity n’a pas communiqué sur le niveau de portée atteint par cette campagne.
Lazarus a été officiellement inculpé par le ministère américain de la Justice (DOJ) en février 2021, impliquant un agent du groupe lié à une organisation de renseignement nord-coréenne, le Bureau général de reconnaissance (RGB). Avant cela, en mars 2020, le DOJ a inculpé deux ressortissants chinois pour avoir aidé au blanchiment de plus de 100 millions de dollars en crypto-monnaie liés aux exploits de Lazarus.