Nel 2018 il Global Research and Analysis Team (GReAT) di Kaspersky ha pubblicato alcuni risultati su AppleJeus – un’operazione malevola progettata da un prolifico autore di cyberminacce, il gruppo Lazarus, con l’obiettivo di sottrarre criptovalute. Alcune nuove scoperte mostrano come l’operazione stia continuando anche oggi, grazie a mosse ancora più accurate da parte del gruppo autore della minaccia, a tattiche e procedure migliorate, all’uso di Telegram come uno dei nuovi vettori di attacco. Nel corso dell’operazione sono state colpite diverse vittime, principalmente nel Regno Unito, in Polonia, in Russia e in Cina; tra loro anche alcune realtà che operano nell’ambito commerciale delle criptovalute.
Lazarus Group è uno dei più attivi e prolifici autori di APT (Advanced Persistent Threats), responsabile di una serie di campagne rivolte alle organizzazioni che si occupano di criptovalute. Nel corso della sua prima operazione, AppleJeus, del 2018, il gruppo autore della minaccia aveva ideato una falsa società di criptovalute in modo da diffondere un’applicazione modificata e sfruttare la fiducia delle potenziali vittime verso la società stessa. Questa operazione era stata messa in atto da Lazarus attraverso il suo primo malware macOS. L’applicazione veniva scaricata dagli utenti da siti web di terze parti e il payload malevolo veniva diffuso attraverso quello che sembrava un normale aggiornamento dell’applicazione stessa. Il payload permetteva agli attaccanti di ottenere il pieno controllo dei dispositivi degli utenti e di sottrare così le criptovalute.
I ricercatori di Kaspersky hanno identificato cambiamenti significativi nelle tattiche di attacco del gruppo nel “sequel” dell’operazione. Il vettore nell’attacco del 2019, infatti, è simile a quello utilizzato l’anno precedente, ma presenta alcuni miglioramenti. Questa volta il Lazarus Group ha creato dei falsi siti web correlati al mondo delle criptovalute, con collegamenti ai canali Telegram della falsa organizzazione e diffusione del malware proprio attraverso il servizio di messaggistica.
Attacco in due fasi
Proprio come nella prima versione dell’operazione AppleJeus, l’attacco prevedeva due fasi. Per prima cosa, gli utenti dovevano scaricare un’applicazione, poi il downloader associato procedeva con il recupero del payload successivo da un server remoto, abilitando così il controllo completo del dispositivo infetto da parte degli attaccanti attraverso una backdoor permanente. Questa volta, però, il payload veniva diffuso con grande attenzione, in modo da evitare il rilevamento attraverso soluzioni di detection “behavior-based”.
Negli attacchi rivolti a obiettivi macOS-based è stato aggiunto al downloader macOS un meccanismo di autenticazione, il framework di sviluppo è stato modificato ed è stata adottata anche una tecnica di infezione “fileless”. Nel prendere di mira gli utenti Windows, invece, i cybercriminali hanno evitato l’uso del malware Fallchill (impiegato nella prima operazione AppleJeus) creando direttamente un malware in grado di funzionare su sistemi specifici solo dopo averli verificati a partire da a un insieme di valori preimpostati. Questi cambiamenti dimostrano che il gruppo autore della minaccia è diventato ancora più attento nello sviluppo delle sue strategie di attacco, utilizzando nuovi metodi per evitare di essere rilevato.
Lazarus ha apportato modifiche significative anche al suo malware macOS, ampliando il numero di versioni esistenti. A differenza dell’operazione organizzata nel 2018 – nel corso della quale il gruppo aveva utilizzato l’open source QtBitcoinTrader per creare un installer per sistemi macOS – per il “sequel” di AppleJeus gli autori della minaccia hanno iniziato ad utilizzare un codice “home made” per la costruzione di un installer malevolo. Sviluppi di questo tipo dimostrano come gli autori della minaccia continuino a lavorare a versioni modificate del malware macOS. Il recente rilevamento fatto dai ricercatori di Kaspersky è il risultato intermedio di questi cambiamenti.
Come riferito in una nota ufficiale da Seongsu Park, Security Researcher di Kaspersky: «Il sequel dell’operazione AppleJeus dimostra che, nonostante una significativa situazione di stasi dei mercati delle criptovalute, il Lazarus Group continua a investire in attacchi legati alla crittografia, rendendoli ancora più sofisticati. Ulteriori cambiamenti e una continua diversificazione del malware dimostrano che il numero di questi attacchi è destinato a crescere, diventando una minaccia sempre più grave».
Il gruppo Lazarus, conosciuto per le sue operazioni sofisticate e per i suoi legami con la Corea del Nord, è noto non solo per aver perpetrato attacchi di spionaggio informatico e di cyber sabotaggio, ma anche per aver condotto campagne verso obiettivi finanziari. Diversi ricercatori, compresi quelli di Kaspersky, hanno riferito in passato su questo gruppo e sull’attenzione rivolta a obiettivi come banche e ad altre grandi realtà che operano nell’ambito finanziario.
3 consigli pratici per difendersi nel mondo delle criptovalute
Per proteggersi da attacchi di questo tipo e da minacce simili, gli esperti di sicurezza di Kaspersky consigliano alle imprese che operano nel mondo delle criptovalute di adottare alcune misure di sicurezza:
– Introdurre opportunità di formazione di base per tutti i dipendenti in modo che possano conoscere i principi basilari della cybersecurity e riconoscere i possibili tentativi di phishing.
– Condurre una valutazione della sicurezza dell’applicazione potrebbe rivelarsi utile nel dimostrare affidabilità nei confronti di potenziali investitori.
– Monitorare l’eventuale comparsa di vulnerabilità negli ambienti di esecuzione degli smart contract.
Ai consumatori che stanno esplorando, o pensano di esplorare, le opportunità offerte dal mondo delle criptovalute, Kaspersky consiglia di:
– Utilizzare soltanto piattaforme di criptovalute affidabili e comprovate.
– Non cliccare su link che rimandano a banche online o a web wallet.
– Usare una soluzione di sicurezza affidabile per poter contare su una protezione completa da una vasta gamma di cyberminacce, come Kaspersky Security Cloud.
