McAfee scopre un malware sofisticato contro i Bitcoin

Gli analisti di Advanced Threat Research (ATR) di McAfee hanno scoperto una “aggressiva” campagna di phishing contro il Bitcoin dei famigerati criminali informatici di Lazarus.

HaoBao contro Bitcoin

Questa nuova campagna, soprannominata HaoBao , si dice che sia un “malware sofisticato con un impatto a lungo termine”, riprendendo il lavoro di Lazarus sulle e-mail di phishing.

Come funziona il malware contro i Bitcoin

Tuttavia, la nuova variante di malware ora si rivolge agli utenti di Bitcoin e alle organizzazioni finanziarie globali, ha affermato McAfee, quindi quando le vittime aprono documenti dannosi allegati alle e-mail, il malware esegue la scansione dell’attività di Bitcoin e quindi stabilisce un “impianto abbandonato” per la raccolta di dati a lungo termine.

“L’obiettivo di HaoBao è lanciare un’ambiziosa campagna per stabilire il cibercrimine della criptovaluta a un livello sofisticato”, ha affermato McAfee.

Il malware mascherato da offerta di lavoro per colpire i Bitcoin

Il gruppo Lazarus ha preso di mira le persone all’inizio del 2017 con una campagna di e-mail phishing che simulava un’offerta di lavoro che contenevano documenti dannosi. È durato da aprile a ottobre e ha utilizzato descrizioni di lavoro rilevanti per le organizzazioni di riferimento, sia in inglese che in coreano, con l’obiettivo finale di accedere all’ambiente del bersaglio e ottenere informazioni chiave sul programma militare o rubare denaro.

I ricercatori della sicurezza pensavano che fosse la fine della campagna di Lazarus, e lo era. Fino al 15 gennaio di quest’anno, quando McAfee ATR ha scoperto un documento malevolo distribuito tramite un account Dropbox e mascherato da un’offerta di lavoro per un Business Development Executive con sede a Hong Kong per una grande banca multinazionale.

McAfee ha affermato che la scoperta è stata il segno distintivo di una nuova campagna di Lazarus, poiché utilizza tecniche, tattiche e procedure osservate nel 2017.

“Questo documento aveva come autore” Utente Windows “ed è stato creato il 16 gennaio 2018 con risorse in lingua coreana”, ha affermato il team di ricerca sulla sicurezza. “Diversi documenti dannosi aggiuntivi con lo stesso autore sono comparsi tra il 16 gennaio e il 24 gennaio 2018.”

L’analisi ATR di McAfee ha inoltre rilevato che questi impianti non sono mai stati visti prima e non sono stati utilizzati nelle precedenti campagne Lazarus a partire dal 2017. La campagna utilizza anche un impianto di raccolta dati una tantum che si basa sul download di un secondo stadio, hanno detto gli esperti di sicurezza.

“Gli impianti contengono una parola codificata” haobao “che viene utilizzata come opzione quando si esegue dalla macro di Visual Basic”, ha aggiunto McAfee. “Questa campagna è pensata per identificare coloro che eseguono software relativi a Bitcoin attraverso specifiche scansioni di sistema”.