Le groupe nord-coréen Lazarus est lié à un nouveau système de piratage de crypto-monnaies

Le groupe Lazarus, une organisation de piratage nord-coréenne précédemment liée à des activités criminelles, a été relié à un nouveau schéma d'attaque visant à pénétrer dans les systèmes et à voler des crypto-monnaies à des tiers.

La campagne, qui utilise une version modifiée d’un malware déjà existant appelé Applegame, utilise un site de crypto-monnaie et même des documents pour accéder aux systèmes.

Le malware Lazarus modifié utilise un site de crypto comme façade

Volexity, une société de cybersécurité, a établi un lien entre Lazarus, un groupe de pirates nord-coréens déjà sanctionné par le gouvernement américain, et une menace impliquant l’utilisation d’un site cryptographique pour infecter des systèmes afin de voler des informations et des crypto-monnaies à des tiers.

Un billet de blog émis le 1er décembre a révélé qu’en juin, Lazarus a enregistré un domaine appelé “bloxholder.com“, qui sera plus tard établi comme une entreprise offrant des services de négociation automatique de crypto-monnaies. En utilisant ce site comme façade, Lazarus incitait les utilisateurs à télécharger une application qui servait de charge utile pour délivrer le malware Applegame, dirigé pour voler les clés privées et d’autres données des systèmes des utilisateurs.

La même stratégie a été utilisée par Lazarus auparavant. Cependant, ce nouveau schéma utilise une technique qui permet à l’application de “confondre et ralentir” les tâches de détection des logiciels malveillants.

Macros de documents

Volexity a également constaté que la technique de diffusion de ce malware aux utilisateurs finaux a changé en octobre. La méthode s’est transformée pour utiliser des documents Office, en particulier une feuille de calcul contenant des macros, une sorte de programme intégré dans les documents conçu pour installer le malware Applegame dans l’ordinateur.

Le document, identifié sous le nom de “OKX Binance & Huobi VIP fee comparision.xls“, présente les avantages que chacun des programmes VIP de ces bourses est censé offrir à ses différents niveaux. Pour atténuer ce type d’attaque, il est recommandé de bloquer l’exécution des macros dans les documents, et également de scruter et de surveiller la création de nouvelles tâches dans l’OS afin d’être au courant de nouvelles tâches non identifiées fonctionnant en arrière-plan. Cependant, Veloxity n’a pas communiqué sur le niveau de portée atteint par cette campagne.

Lazarus a été officiellement inculpé par le ministère américain de la Justice (DOJ) en février 2021, impliquant un agent du groupe lié à une organisation de renseignement nord-coréenne, le Bureau général de reconnaissance (RGB). Avant cela, en mars 2020, le DOJ a inculpé deux ressortissants chinois pour avoir aidé au blanchiment de plus de 100 millions de dollars en crypto-monnaie liés aux exploits de Lazarus.

Afficher Masquer le sommaire
À propos de l’auteur, Laurent Gigaud

Je m'appelle Laurent et je suis rédacteur pour ActuCrypto.info, un site web dédié à l'information sur les crypto-monnaies. Je suis un passionné des crypto-monnaies et je m'efforce de partager mes connaissances et de fournir des informations de qualité à nos lecteurs. Je me suis intéressé aux crypto-monnaies en 2017 et j'ai commencé à investir et à trader. Depuis, je me suis spécialisé dans l'analyse technique et le trading des crypto-monnaies. Je suis également un grand fan de la technologie blockchain et j'essaie de lire autant que possible sur le sujet. J'aime également voyager et explorer de nouvelles cultures et de nouvelles technologies.