Северокорейские хакеры атаковали трейдеров криптовалютой с помощью вредоносного ПО TraderTraitor

Киберпреступники из Северной Кореи часто прибегают к финансово мотивированным атакам, что позволяет им перекачивать средства в свою страну и использовать их для дальнейшего развития различных спорных программ, таких как северокорейская ядерная программа. Недавно было замечено, что группа Lazarus Hacking использует новую тактику социальной инженерии для получения незаконного доступа к торговым профилям пользователей криптовалюты. Предположительно, они также полагаются на вредоносный имплантат, известный как вредоносное ПО TraderTraitor, которое также специализируется на захвате торговых профилей, чтобы преступники могли совершать мошеннические сделки.

Последняя кампания предполагает использование целевых фишинговых писем. К жертвам обращаются с обещанием получить лучшую возможность трудоустройства, и их просят просмотреть вложения, которые предоставят им доступ к уникальным утилитам для торговли и прогнозирования цен на криптовалюты. Однако вложение файла на самом деле содержит полезную нагрузку, такую как вредоносное ПО TraderTraitor.

Как только заражение TraderTraitor Malware становится активным, хакеры Lazarus Group могут использовать его для отправки удаленных команд и управления зараженной системой. Вредоносное ПО также может распространяться в боковом направлении, если ему удалось проникнуть в более крупную сеть.

Недавно северокорейские хакеры были замешаны во взломе на 650 миллионов долларов, в результате которого были выведены средства из сети Ronin и, в частности, из игры Axie Infinity. Однако вредоносное ПО TraderTraitor Malware не участвовало в вышеупомянутой атаке.

В настоящее время вредоносное ПО TraderTraitor может быть активным под именами TokenAIS, Esilet и CryptAIS. Остерегайтесь случайных писем с просьбой загрузить и просмотреть вложения или установить приложения — убедитесь, что ваша система защищена с помощью актуального антивирусного приложения.