Il gruppo di hacker Lazarus, che secondo alcuni sarebbe finanziato dal governo nordcoreano, ha diffuso dei nuovi virus con l'obiettivo di rubare criptovalute.
In un rapporto pubblicato l'8 gennaio, la società di cybersecurity Kaspersky ha rivelato che Lazarus continua a lavorare per infettare i computer degli utenti Mac e Windows.
Il gruppo stava usando una versione modificata di un'interfaccia di trading di criptovalute open source chiamata QtBitcoinTrader per diffondere ed eseguire codice dannoso ai fini della "Operazione AppleJeus", come riportato da Kaspersky alla fine di agosto 2018. Ora, l'azienda sostiene che Lazarus abbia iniziato ad apportare delle modifiche al malware.
Kaspersky ha identificato un nuovo virus per macOS e Windows chiamato UnionCryptoTrader, che si basa sulle versioni rilevate in precedenza. È stato rilevato anche un altro nuovo malware, destinato unicamente agli utenti Mac, chiamato MarkMakingBot. La società di sicurezza informatica ha osservato che Lazarus sta ottimizzando quest'ultimo virus.
I ricercatori hanno anche scoperto che le macchine Windows erano infette da un file dannoso chiamato WFCUpdater, senza però essere in grado di identificare il programma di installazione iniziale. Kaspersky ha affermato che l'infezione è partita da un malware .NET che aveva le sembianze di un normale aggiornamento del wallet WFC, e veniva distribuito attraverso un sito web falso.
Il malware infetta i computer in più fasi prima di eseguire i comandi del gruppo e installare permanentemente il payload.
Gli hacker potrebbero aver diffuso il malware tramite Telegram
Le versioni Windows di UnionCryptoTrader sono state eseguite dalla cartella di download di Telegram, cosa che ha spinto i ricercatori a credere "che l'entità ha distribuito l'installer modificato utilizzando il software di messaggistica Telegram.
Un ulteriore motivo per credere che Telegram sia stato utilizzato per diffondere il malware è la presenza di un gruppo Telegram sul sito web falso. Il programma presentava un'interfaccia grafica che mostrava il prezzo di Bitcoin (BTC) su diversi exchange di criptovalute.
Screenshot dell'interfaccia utente di UnionCryptoTrader. Fonte: Kaspersky
La versione Windows di UnionCryptoTrader fa partire un processo di Internet Explorer infetto, che viene quindi utilizzato per eseguire i comandi dell'hacker. Kaspersky ha rilevato casi del malware in Regno Unito, Polonia, Russia e Cina. Il rapporto recita:
"Riteniamo che gli attacchi continui del gruppo Lazarus per guadagni finanziari non si fermeranno presto. [...] Supponiamo che questo tipo di attacco contro le aziende crypto continuerà e diventerà più sofisticato."
Lazarus è noto per aver preso di mira gli utenti crypto. Come riportato da Cointelegraph ad ottobre del 2018, dal 2017 il gruppo ha rubato l'equivalente di ben 571 milioni di dollari in criptovalute.