Nordkoreanske hackere retter seg mot kryptovalutahandlere med TraderTraitor-malware

Nordkoreanske nettkriminelle engasjerer seg ofte i økonomisk motiverte angrep, noe som gjør dem i stand til å hente midler inn i landet sitt, og bruke dem til å fremme utviklingen av ulike kontroversielle programmer, som det nordkoreanske atomprogrammet. Nylig har Lazarus Hacking-gruppen blitt sett å bruke nye sosiale ingeniør-taktikker for å få ulovlig tilgang til handelsprofilene til kryptovaluta-brukere. Angivelig er de også avhengige av et ondsinnet implantat kjent som TraderTraitor Malware, som også spesialiserer seg på å kapre handelsprofiler for å gjøre kriminelle i stand til å utføre uredelige handler.

Den siste kampanjen innebærer bruk av målrettede phishing-e-poster. Ofre blir kontaktet med løftet om å få en bedre jobbmulighet, og de blir bedt om å gjennomgå vedleggene, noe som vil gi dem tilgang til unike handels- og prisprediksjonsverktøy for kryptovalutaer. Imidlertid har filvedlegget faktisk en nyttelast som TraderTraitor Malware.

Når TraderTraitor Malwares infeksjon er aktiv, kan Lazarus Group-hackere bruke den til å sende eksterne kommandoer og kontrollere det infiserte systemet. Skadevaren kan også spre seg sideveis i tilfelle den har klart å infiltrere et større nettverk.

Nylig var nordkoreanske hackere involvert i et hack på 650 millioner dollar, som hentet penger ut av Ronin-nettverket og spesielt Axie Infinity-spillet. TraderTraitor Malware var imidlertid ikke involvert i det nevnte angrepet.

For øyeblikket kan TraderTraitor Malware være aktiv under navnene TokenAIS, Esilet og CryptAIS. Vokt dere for tilfeldige e-poster som ber deg laste ned og gjennomgå vedlegg, eller installere apper – sørg for å holde systemet trygt med et oppdatert program mot skadelig programvare.