آخر تحديث:
لماذا تثق في Cryptonews؟
كثفت منظمة القراصنة الكورية الشمالية Lazarus Group هجماتها الإلكترونية على سوق العملات المشفرة في سبتمبر 2024 من خلال إدخال سلالات جديدة من البرامج الضارة تستهدف ملحقات المتصفح وتطبيقات مؤتمرات الفيديو، وفقًا لتقرير حديث صادر عن شركة الأمن السيبراني Group-IB.
ويتضمن التقرير تفاصيل كيف وسعت المجموعة نطاق تركيزها ليشمل هذه المنصات، باستخدام متغيرات متطورة بشكل متزايد من البرامج الضارة.
هجمات Lazarus Group على ملحقات المتصفح
بالإضافة إلى حملة “المقابلة المعدية”، التي خدعت الباحثين عن عمل لتحميل برامج ضارة متخفية في شكل مهام متعلقة بالوظيفة، وسعت مجموعة Lazarus الآن من هجماتها لتشمل تطبيقات مؤتمرات الفيديو المزيفة.
وقد تطور هذا المخطط الآن ليشمل تطبيقًا وهميًا لعقد مؤتمرات الفيديو يسمى “FCCCall”، والذي يحاكي البرامج الشرعية.
بمجرد تثبيت التطبيق، يقوم بنشر برنامج BeaverTail الخبيث. تم تصميم هذا البرنامج الخبيث لاستخراج بيانات الاعتماد من المتصفحات والبيانات من محافظ العملات المشفرة عبر ملحقات المتصفح.
ثم يقوم بتثبيت باب خلفي يعتمد على Python، ويطلق عليه اسم “InvisibleFerret”، مما يزيد من خطر تعرض نظام الضحية للخطر.
تسلط هذه الحملة الأخيرة الضوء على تركيزهم المتزايد على ملحقات متصفح محفظة العملات المشفرة، والتي تستهدف على وجه التحديد MetaMask، وCoinbase، وBNB Chain Wallet، وTON Wallet، وExodus Web3.
وأشار المحللون في Group-IB إلى أن المجموعة تستهدف الآن مجموعة واسعة من التطبيقات، بما في ذلك MetaMask و Coinbase.
من خلال استخدام JavaScript الخبيث، فإنهم يغريون الضحايا بتنزيل البرامج بحجة إجراء المراجعات أو مهام التحليل.
تمكن باحثو Group-IB من تحديد مجموعة جديدة من نصوص Python، تسمى “CivetQ”، كجزء من مجموعة الأدوات المتطورة للمجموعة.
تشير هذه النصوص إلى تحول في التكتيكات لاستهداف محترفي blockchain من خلال منصات البحث عن الوظائف مثل WWR و Moonlight و Upwork.
بعد إجراء الاتصال الأولي، يقوم المتسللون عادةً بتحويل المحادثة إلى Telegram. ويخدعون الضحايا لتنزيل تطبيق مزيف لعقد مؤتمرات الفيديو أو مشروع Node.js، مدعين أنه مخصص لمقابلة عمل فنية.
التهديد المتزايد الذي تشكله مجموعة Lazarus على العملات المشفرة والاستغلال الأخير لثغرات نظام التشغيل Microsoft Windows
تظل مجموعة Lazarus مصدر قلق في قطاع العملات المشفرة، خاصة مع استغلالها الأخير لثغرات نظام التشغيل Microsoft Windows.
وقد قامت المجموعة بتحسين أساليبها، مما يجعل من الصعب اكتشاف البرامج الضارة من خلال إخفاء الكود الخبيث بطرق أحدث وأكثر تطوراً.
يعكس هذا التصعيد اتجاهات أوسع نطاقا لاحظها مكتب التحقيقات الفيدرالي (FBI)، الذي حذر مؤخرا من أن قراصنة كوريا الشمالية يستهدفون الموظفين في قطاعي التمويل اللامركزي والعملات المشفرة بحملات هندسة اجتماعية متخصصة للغاية.
تم تصميم هذه الحملات لاختراق حتى أكثر الأنظمة أمانًا، مما يشكل تهديدًا مستمرًا للمؤسسات التي تمتلك أصولًا مشفرة كبيرة.
وفي تطور ذي صلة، زُعم أن مجموعة Lazarus استغلت ثغرة أمنية جديدة في نظام التشغيل Microsoft Windows.
تم التعرف على الثغرة الأمنية، التي تم تعقبها باسم CVE-2024-38193 (درجة CVSS: 7.8)، على أنها خطأ تصعيد الامتيازات في برنامج تشغيل الوظيفة المساعدة لـ Windows (AFD.sys) لـ WinSock.
اكتشف باحثان، هما لويجينو كاماسترا وميلانيك، ثغرة أمنية تسمح للمتسللين بالوصول إلى أجزاء مقيدة من أنظمة الكمبيوتر دون أن يتم اكتشافهم.
قامت مايكروسوفت بإصلاح الخلل كجزء من تحديثها الشهري Patch Tuesday في سبتمبر 2024.