Le collectif infâme criminel connu sous le nom du groupe Lazare ont été repéré derrière une escroquerie de type phishing dans le monde entier. Ils sont parmi les groupes de pirates informatiques les plus expérimentés qui sont tristement célèbres pour coordonner les attaques de masse contre des cibles haut de gamme. La campagne actuelle se concentre sur les banques internationales et les utilisateurs finaux Bitcoin.
Les grèves Lazarus Group Again
Pas beaucoup est connu sur l'identité des pirates informatiques du groupe Lazarus. On croit qu'ils fonctionnent de la Corée du Nord et sont largement connus pour la planification des campagnes élaborées contre des cibles de grande envergure. Leurs premières attaques étaient contre les institutions sud-coréennes en utilisant les attaques par déni de service distribué en arrière 2009 et 2012. Le groupe est connu d'utiliser de grands réseaux de noeuds de réseaux de robots qui sont contrôlés par le groupe. Dans la plupart des cas, ils sont faits d'ordinateurs piratés qui sont infectés par le code malveillant qui les recrute au réseau. La puissance collective du réseau combiné peut être dévastateur pour les sites et réseaux informatiques lorsque les attaques sont lancées à la fois.
La dernière attaque notable a été réalisée en Octobre 2017 lorsque le groupe Lazarus a mené une campagne de phishing contre les utilisateurs qui ont travaillé dans les établissements de crypto-monnaie. De nombreux échanges et les détenteurs de portefeuille ont été victimes lors de l'attaque. Les victimes ont reçu des messages électroniques qui utilisent des astuces d'ingénierie sociale et les documents infectés. Les utilisateurs sont chargés d'exécuter les attachés ou liés riches documents de texte qui se présentent comme des fichiers d'intérêt de l'utilisateur. Dès qu'ils sont ouverts un écran de notification demande aux utilisateurs d'activer les macros intégrées. Dès que cela est fait une infection par le virus est téléchargé à partir d'un serveur pirate et mis en place sur l'ordinateur victime. En conséquence, un cheval de Troie infection très dangereuse suite. On croit que les pirates étaient derrière certains des plus grands échanges de crypto-monnaie: CoinDash, Bithumb, Veritaseum.
La campagne en cours Lazarus Groupe d'attaque
La campagne d'attaque en cours employée par le groupe Lazarus est surnommé HaoBao par les experts de la sécurité qui ont déclaré qu'il. Comme les campagnes précédentes, il dépend des courriels d'hameçonnage qui fournissent le composant logiciel malveillant. La tactique d'escroquerie dépend d'une conception qui reconstitue le message comme étant envoyé par une société de recrutement d'emploi basée à Hong Kong. Le contenu réel des e-mails montre que les expéditeurs recherchent des cadres de développement des affaires pour la location citant une banque multinationale comme leur client. Les messages contiennent un lien vers un document Dropbox qui a été identifié comme malveillant. Il est un document de texte enrichi Microsoft Word qui, lorsqu'il est ouvert demande aux victimes de permettre intégré dans les scripts. Lorsque cela est fait le script lance un module de virus. Le modèle de comportement exécute l'ensemble des instructions suivantes:
- Le logiciel malveillant télécharge un petit moteur d'infection qui commence à analyser le système pour tous les portefeuilles crypto-monnaie. Ils peuvent être de différents types et de soutenir différentes devises numériques. Cela comprend généralement le plus populaire, comme Monero, Ethereum, Bitcoin, NÉO, Ripple et etc.
- L'étape suivante consiste à fournir un la collecte d'informations composant sur les machines compromises. Il surveillera en permanence la machine infectée pour toute modification majeure du système et l'installation de logiciels qui sont liés à l'exploitation minière de crypto-monnaie.
- Une connexion réseau est établie avec la commande contrôlée contre le piratage et de contrôle (C&C) serveur. Cette mesure est liée au fait que les pirates peuvent analyser à distance les systèmes pour les changements et les variables. Certaines des données recueillies comprend le nom de l'ordinateur, utilisateur actuellement connecté et la liste de toutes les applications et les processus du système en cours d'exécution. L'analyse montre également que les pirates peuvent analyser à distance la présence de certaines clés de registre.
Les analystes de sécurité notent que l'un des nouveaux mécanismes imaginés par le Groupe Lazarus dans leur dernière attaque de logiciels malveillants est la fonction de balayage rapide. Les commandes d'infection peuvent scanner les systèmes pour la présence de portefeuilles et de logiciels de crypto-monnaie support d'une manière plus efficace que les autres outils de piratage.
Nous rappelons à nos lecteurs qu'ils peuvent se protéger du danger en utilisant une solution anti-spyware qualité.
Spy Hunter scanner ne détecte que la menace. Si vous voulez que la menace d'être retiré automatiquement, vous devez acheter la version complète de l'outil anti-malware.En savoir plus sur l'outil SpyHunter Anti-Malware / Comment désinstaller SpyHunter