ة ، التي تستخدم نسخة معدلة من منتج برامج ضار موجود بالفعل يسمى Applejeus ، موقع تشفير وحتى مستندات للوصول إلى الأنظمة.
تستخدم برامج Lazarus Malware المعدلة موقع تشفير كواجهة
ربطت شركة Volexity ، وهي شركة للأمن السيبراني مقرها واشنطن العاصمة ، لازاروس ، وهي مجموعة قرصنة كورية شمالية تخضع لعقوبات بالفعل من قبل حكومة الولايات المتحدة ، بتهديد ينطوي على استخدام موقع تشفير لإصابة الأنظمة من أجل سرقة المعلومات والعملات المشفرة من أطراف ثالثة.
كشف منشور على المدونة صدر في 1 ديسمبر أنه في يونيو ، سجل Lazarus نطاقًا يسمى “bloxholder.com” ، والذي سيتم إنشاؤه لاحقًا كشركة تقدم خدمات تداول العملات المشفرة تلقائيًا. باستخدام هذا الموقع كواجهة ، حث Lazarus المستخدمين على تنزيل تطبيق كان بمثابة حمولة لتسليم برنامج Applejeus الضار ، موجهًا لسرقة المفاتيح الخاصة والبيانات الأخرى من أنظمة المستخدمين.
تم استخدام نفس الاستراتيجية من قبل لازاروس من قبل. ومع ذلك ، يستخدم هذا المخطط الجديد تقنية تسمح للتطبيق “بالتشويش وإبطاء” مهام اكتشاف البرامج الضارة.
وثيقة وحدات الماكرو
وجد Volexity أيضًا أن تقنية توصيل هذه البرامج الضارة للمستخدمين النهائيين قد تغيرت في أكتوبر. تحولت الطريقة لاستخدام مستندات Office ، وتحديداً جدول بيانات يحتوي على وحدات ماكرو ، وهو نوع من البرامج المضمنة في المستندات المصممة لتثبيت برنامج Applejeus الضار في الكمبيوتر.
تعرض الوثيقة ، التي تم تحديدها باسم “OKX Binance & Huobi VIP fee Comparision.xls” ، الفوائد التي يُفترض أن يقدمها كل برنامج من برامج كبار الشخصيات في هذه التبادلات على مستوياتها المختلفة. للتخفيف من هذا النوع من الهجوم ، يوصى بحظر تنفيذ وحدات الماكرو في المستندات ، وكذلك فحص ومراقبة إنشاء مهام جديدة في نظام التشغيل للتعرف على المهام الجديدة غير المحددة التي تعمل في الخلفية. ومع ذلك ، لم تبلغ Veloxity عن مستوى الوصول الذي حققته هذه الحملة.
تم اتهام لازاروس رسميًا من قبل وزارة العدل الأمريكية (DOJ) في فبراير 2021 ، بما في ذلك أحد أفراد المجموعة المرتبطة بمنظمة استخبارات كورية شمالية ، وهي المكتب العام للاستطلاع (RGB). قبل ذلك ، في مارس 2020 ، وجهت وزارة العدل الاتهام إلى اثنين من المواطنين الصينيين للمساعدة في غسل أكثر من 100 مليون دولار من العملات المشفرة المرتبطة باستغلال لازاروس.