Il gruppo Lazarus ha trovato un altro modo per rubare le criptovalute dai wallet di ignare vittime. Invece di nascondere il malware in presunte offerte di lavoro (la tecnica usata di recente), i cybercriminali hanno creato un sito fasullo, simile a quello di una legittima piattaforma di trading. Una soluzione di sicurezza aggiornata può rilevare e bloccare questo tipo di minaccia.
BloxHolder distribuisce AppleJeus
La nuova campagna del gruppo Lazarus è iniziata nel mese di giugno, quando è stato registrato il dominio del sito BloxHolder, simile a quello di HaasOnline, piattaforma di trading automatizzato tramite bot. L’installer MSI dell’omonima app, pubblicato sul sito, installa sia l’app open source QT Bitcoin Trader (legittima) che il malware AppleJeus.
Viene inoltre creata un’attività pianificata e copiati sul computer due file: CameraSettingsUIHost.exe
e DUser.dll
. I cybercriminali usano la tecnica nota come DLL side-loading per caricare il malware in memoria, evitando la rilevazione da parte degli antivirus. Il file DUser.dll
scarica AppleJeus, ovvero il “ladro” di criptovalute.
Più recentemente è stato utilizzato un documento Office per distribuire il malware. La macro scarica tre file, uno dei quali è la DLL usata per installare il malware, sfruttando la stessa tecnica del side-loading. Il gruppo Lazarus cambia spesso le tattiche per aggirare le rilevazioni, ma è sempre consigliata l’uso di una soluzione di sicurezza aggiornata che protegge il computer contro queste minacce.