W połowie grudnia ubiegłego roku do serwisu internetowego VirusTotal, który skanuje pliki w poszukiwaniu szkodliwego oprogramowania, został przesłany podejrzany plik. Na pierwszy rzut oka wyglądało na to, że jest to instalator portfela kryptowalutowego. Jednak nasi eksperci postanowili go przeanalizować. Okazało się, że oprócz portfela instaluje on na urządzeniu użytkownika szkodliwe oprogramowanie. Ponadto wygląda na to, że program nie jest dziełem drobnych oszustów, ale niesławnych cyberprzestępców stojących za Lazarusem.
Czym jest Lazarus?
Lazarus to ugrupowanie APT, czyli organizacja cyberprzestępcza. Zazwyczaj są one dość dobrze finansowane, opracowują skomplikowane szkodliwe oprogramowanie i specjalizują się w atakach ukierunkowanych – na przykład w celu realizowania szpiegostwa przemysłowego lub politycznego. Kradzież pieniędzy zwykle nie jest ich głównym celem.
Lazarus jest jednak ugrupowaniem APT, które aktywnie poszukuje pieniędzy. Na przykład w 2016 r. sporo zarobiło na Banku Centralnym Bangladeszu; w 2018 r. zainfekowało giełdę kryptowalut szkodliwym oprogramowaniem; a w 2020 r. spróbowało swoich sił w wykorzystywaniu ransomware.
Portfel DeFi z backdoorem
Plik, który przyciągnął uwagę naszych badaczy, zawierał zainfekowany instalator legalnego zdecentralizowanego portfela kryptograficznego. DeFi (zdecentralizowane finanse) to model finansowy, w którym nie ma pośredników takich jak banki, a wszystkie transakcje są dokonywane bezpośrednio między użytkownikami. Od kilku lat technologia DeFi zyskuje na popularności. Według organizacji Forbes od maja 2020 r. do maja 2021 r. wartość aktywów ulokowanych w systemach DeFi wzrosła 88-krotnie. Nic więc dziwnego, że DeFi zwraca na siebie uwagę cyberprzestępców.
Nie wiadomo jeszcze, w jaki sposób cyberprzestępcy przekonują ofiary do pobrania i uruchomienia zainfekowanego pliku. Nasi eksperci przypuszczają, że oszuści wysyłają użytkownikom ukierunkowane wiadomości e-mail lub wiadomości w mediach społecznościowych — w przeciwieństwie do tych wysyłanych masowo, takie wiadomości są dostosowane do konkretnego odbiorcy i mogą wyglądać bardzo wiarygodnie.
Gdy użytkownik uruchomi instalator, tworzone są dwa pliki wykonywalne: pierwszym jest szkodliwy program, a drugim — czysty instalator portfela kryptograficznego. Szkodliwy program podszywa się pod przeglądarkę Google Chrome i próbuje ukryć istnienie zainfekowanego instalatora, kopiując w jego miejsce czysty instalator, który od razu uruchamia, aby użytkownik się nie zorientował. Po pomyślnym zainstalowaniu portfela szkodliwe oprogramowanie nadal działa w tle.
Jak duże jest zagrożenie?
Szkodliwe oprogramowanie, które zostaje umieszczone na komputerze za pomocą portfela DeFi, jest backdoorem. W zależności od intencji operatora backdoor może zbierać informacje lub umożliwiać zdalne sterowanie urządzeniem. W szczególności może:
- uruchamiać i kończyć procesy,
- wykonywać na urządzeniu polecenia,
- pobierać na urządzenie pliki, usuwać je i wysyłać do serwera kontroli.
W przypadku udanego ataku szkodliwy program może wyłączyć program antywirusowy i ukraść wszystko, co mu się podoba: od cennych dokumentów po konta i pieniądze; może również pobierać na komputer inne szkodliwe programy. Jak zawsze, więcej szczegółów na ten temat jest dostępnych w technicznym opisie trojana opublikowanym na naszym blogu SecureList.
Jak nie zostać ofiarą?
Jeśli zajmujesz się finansami, a zwłaszcza kryptowalutami, uważaj na wiadomości, które próbują przekonać Cię do zainstalowania programów z niezaufanych źródeł. Ponadto upewnij się, że Twoje urządzenia są bezpieczne – w szczególności te, których używasz do przeprowadzania transakcji kryptowalutowych. Niezawodne rozwiązanie bezpieczeństwa pomoże tam, gdzie zwykła ostrożność nie wystarczy.