Truva atına dönüştürülen DeFi uygulamaları kripto para çalmak için kullanılıyor

0

Finansal operasyonlarıyla ünlü, gelişmiş ve kararlı tehdit aktörü Lazarus, kripto para birimlerini çalarak gelirini artırmak işçin Truva atına dönüştürülmüş, dağıtılmış, finans (DeFi) uygulamalarıyla saldırıya geçti. Böylece Lazarus, kurbanlarının sistemleri üzerinde kontrol sağlayan kötü amaçlı yazılımları dağıtarak, kripto para cüzdanlarını yönetmek için kullanılan meşru uygulamaları kötüye kullanıyor.

Lazarus grubu, 2009’dan beri faaliyet gösteren dünyanın en aktif APT aktörlerinden biri. Çoğu devlet destekli APT grubunun aksine Lazarus ile bağlantılı APT tehdit aktörleri, finansal kazancı öncelikli hedeflerinden biri haline getirdi. Kripto para piyasası, takas edilemeyen token (NFT) ve dağıtılmış finans (DeFi) pazarlarıyla birlikte büyürken, Lazarus kripto para kullanıcılarını hedeflemek için yeni yollar bulmaya devam ediyor.

Aralık 2021’de Kaspersky araştırmacıları, Lazarus grubu tarafından sağlanan bir Truva Atı DeFi uygulamasını kullanarak kripto para çalmaya çalışan yeni bir kötü amaçlı yazılım operasyonunu ortaya çıkardı. Uygulama, kripto para cüzdanlarını kaydeden ve yöneten DeFi Wallet adlı meşru bir program içeriyor. Uygulama çalıştırıldığında, meşru uygulama yükleyicinin yanına kötü amaçlı bir dosya bırakılıyor ve kötü amaçlı yazılım Truva atlı bir yükleyici yoluyla başlatılıyor. Oluşturulan bu kötü amaçlı yazılım, daha sonra Truva Atı uygulanmış bir şekilde meşru uygulamanın üzerine ekleniyor.

Bu bulaşma düzeninde kullanılan kötü amaçlı yazılım, kurbanın sistemlerini uzaktan kontrol etme yeteneğine sahip tam özellikli bir arka kapı özelliğinde. Saldırgan, sistemin kontrolünü ele geçirdikten sonra dosyaları silebiliyor, bilgi toplayabiliyor, belirli IP adreslerine bağlanabiliyor ve komuta kontrol sunucusuyla iletişim kurabiliyor. Lazarus’un saldırılarının geçmişine dayanarak, araştırmacılar bu operasyonun arkasındaki motivasyonun finansal kazanç olduğunu varsayıyorlar. Bu arka kapının işlevlerini inceledikten sonra Kaspersky araştırmacıları, Lazarus grubu tarafından kullanılan diğer araçlarla, CookieTime ve ThreatNeedle kötü amaçlı yazılım kümeleriyle çok sayıda benzerlik keşfetti. Çok aşamalı bulaşma şeması, Lazarus’un altyapısında da yoğun olarak kullanılıyor.

Cevap bırakın