Lazarus относится к APT-группировкам — киберпреступным организациям, которые обычно хорошо финансируются, разрабатывают сложные вредоносные программы и специализируются на целевых атаках, например промышленном или политическом шпионаже. Кража денег чаще всего если и интересует такие группировки, то далеко не в первую очередь.

Однако Lazarus как раз из тех, кто активно охотится за чужими деньгами. Например, в 2016 году эти злоумышленники украли кругленькую сумму у Центрального банка Бангладеш, в 2018-м заразили зловредом криптовалютную биржу, а в 2020-м попробовали себя в роли вымогателей.

DeFi-кошелек с бэкдором:

Файл, который попал на глаза исследователям, содержал зараженный установщик легитимного децентрализованного криптокошелька. DeFi (decentralized finance, «децентрализованные финансы») — это финансовая модель, в которой нет посредников вроде банков, а все операции совершаются между пользователями напрямую. В последние годы DeFi-технологии все больше набирают популярность. Например, по данным Forbes, с мая 2020 по май 2021 года стоимость активов, размещенных в DeFi-системах, выросла в 88 раз. Неудивительно, что децентрализованные финансы привлекают внимание злоумышленников.

Как именно пользователя убеждают скачать и запустить зараженный файл, наверняка не известно. Однако эксперты предполагают, что злоумышленники отправляют жертвам целевые фишинговые письма или сообщения в соцсетях. В отличие от массовых рассылок, такие письма и сообщения составляются из расчета на конкретного получателя и могут выглядеть очень правдоподобно.

Так или иначе, когда пользователь запускает установщик, тот создает два исполняемых файла: вредоносную программу и чистый установщик кошелька. Зловред маскируется под браузер Google Chrome и пытается скрыть существование зараженного установщика, скопировав на его место чистый файл, который тут же запускает, чтобы пользователь ничего не заподозрил. Кошелек успешно устанавливается, а зловред при этом продолжает работать в фоновом режиме.

Чем опасен зловред? «Лаборатория Касперского» информирует:

Вредоносная программа, которая попадает на компьютер с DeFi-кошельком, — это бэкдор, то есть лазейка для злоумышленников. В зависимости от их намерений он может как собирать информацию, так и давать им удаленный контроль над устройством.

В частности, он способен:

• Запускать и завершать процессы.
• Выполнять команды на устройстве.
• Скачивать файлы на устройство, удалять их и отправлять файлы с устройства на свой командный сервер.

То есть в случае успешной атаки зловред может и антивирус отключить, и украсть что угодно — от ценных документов до аккаунтов и денег, и загрузить на компьютер другую заразу, если злоумышленники сочтут это нужным.

Как не стать жертвой? «Лаборатория Касперского» рекомендует:

• С настороженностью относиться к письмам и сообщениям, в которых вас склоняют к установке незнакомых программ;
• Позаботиться о безопасности ваших устройств — в первую очередь тех, которые вы используете для работы с криптокошельками.

Полный текст статьи читайте на сайте.