Lazarus group valt banken en bitcoin-gebruikers aan

Een nieuwe Lazarus group-campagne voor cyberaanvallen combineert spear-phishing-technieken met een cryptocurrency-scanner om te scannen naar bitcoin-portefeuilles. Onderzoekers van McAfee Advanced Threat Research (ATR) hebben dit ontdekt.

De aanvalscampagne die de naam HaoBao heeft gekregen zet spear-phishing-e-mails in die afkomstig lijken te zijn van recruiters. Vorig jaar verspreidde de Lazarus group ook al dergelijke fake-mails, maar de huidige campagne is agressiever.

Cryptocurrency-scanner

Zodra een slachtoffer ‘enable content’ aanklikt, start het malafide document een van de twee payloads op het systeem via een Visual Basic-macro. De eerste bestaat uit een lichtgewicht cryptocurrency-scanner die gegevens verzamelt over processen en gebruikers. Daarna zoekt hij naar een registersleutel en bitcoin-portemonnee. Hackers kunnen het verkeer zien dat naar de Command-and-Control-Server wordt verzonden en zo achterhalen of een machine bitcoin gebruikt of niet.

Bitcoin-portemonnee

Als dat het geval is, implementeert en installeert de malware een andere payload. Deze tweede fase is volgens Ryan Sherstobitoff, McAfee senior analist voor malwarecampagnes, waarschijnlijk in staat om privésleutels of sifons te stelen van de bitcoin-portemonnee van het slachtoffer.

Aanmelden voor onze nieuwsbrief