Grup Lazarus, organisasi peretasan Korea Utara yang sebelumnya terkait dengan aktivitas kriminal, telah dikaitkan dengan skema serangan baru untuk menembus sistem dan mencuri mata uang kripto dari pihak ketiga.
Kampanye, yang menggunakan versi modifikasi dari produk malware yang sudah ada bernama Applejeus, menggunakan situs kripto dan bahkan dokumen untuk mendapatkan akses ke sistem.
Malware Lazarus yang Dimodifikasi Menggunakan Situs Kripto sebagai Fasad
Pemerintah AS telah memberikan sanksi kepada kelompok peretas Korea Utara, Lazarus. Volexity, sebuah perusahaan keamanan siber yang berbasis di Washington, D.C., telah menghubungkan Lazarus dengan ancaman yang melibatkan penggunaan situs kripto untuk menginfeksi sistem guna mencuri data dan mata uang kripto dari pihak ketiga.
Baca Juga : Kripto GameFi Diprediksi Akan Bertumbuh Pesat, Ini Alasannya!
Sebuah posting blog yang diterbitkan pada 1 Desember mengungkapkan bahwa pada bulan Juni, Lazarus mendaftarkan domain yang disebut “bloxholder.com,” yang nantinya akan didirikan sebagai layanan penawaran bisnis perdagangan cryptocurrency otomatis.
Menggunakan situs ini sebagai fasad (red: tampilan luar dari website), Lazarus meminta pengguna untuk mengunduh aplikasi yang berfungsi untuk mengirimkan malware Applejeus, yang diarahkan untuk mencuri kunci pribadi dan data lain dari sistem pengguna.
Strategi yang sama telah digunakan oleh Lazarus sebelumnya. Namun, skema baru ini menggunakan teknik yang memungkinkan aplikasi untuk “membingungkan dan memperlambat” tugas deteksi malware.
Makro Dokumen
Volexity menemukan bahwa pada bulan Oktober, perubahan dilakukan pada metode yang digunakan untuk mendistribusikan malware ini ke pengguna akhir. Spreadsheet yang berisi makro, sejenis perangkat lunak yang disematkan dalam dokumen dan dimaksudkan untuk menginstal virus Applejeus di mesin, digunakan dalam metode yang dikembangkan dengan menggunakan dokumen Office.
Keuntungan yang dikatakan ditawarkan oleh masing-masing program VIP pertukaran ini di berbagai tingkatan, ditunjukkan dalam dokumen dengan nama “OKX Binance & Huobi VIP fee comparision.xls.”
Dan untuk mengurangi serangan semacam ini, Veloxity menyarankan untuk memblokir eksekusi makro dalam dokumen, dan juga saran untuk memeriksa dan memperhatikan pembuatan tugas baru di OS guna mengetahui tugas baru yang tidak teridentifikasi dan berjalan di latar belakang. Namun, Veloxity tidak memberikan informasi tentang sejauh mana jangkauan kampanye tersebut.
Lazarus secara resmi didakwa oleh Departemen Kehakiman AS (DOJ) pada Februari 2021, melibatkan seorang agen dari kelompok yang terkait dengan organisasi intelijen Korea Utara, Biro Umum Pengintaian atau Reconnaissance General Bureau (RGB).
Sebelumnya, pada Maret 2020, DOJ mendakwa dua warga negara Tiongkok karena membantu pencucian lebih dari $100 juta dalam mata uang kripto yang terkait dengan eksploitasi Lazarus.
Sumber : news.bitcoin.com
