La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, ainsi que le Federal Bureau of Investigation (FBI) et le département du Trésor, ont mis en garde contre une nouvelle série de cyberattaques en cours menées par le groupe Lazarus ciblant les sociétés de blockchain.

Appelant le cluster d’activités TraderTraitor, les infiltrations impliquent l’acteur de la menace persistante avancée (APT) parrainé par l’État nord-coréen frappant des entités opérant dans l’industrie Web3.0 depuis au moins 2020.

Les organisations ciblées comprennent les échanges de crypto-monnaie, les protocoles de finance décentralisée (DeFi), les jeux vidéo de crypto-monnaie play-to-earn, les sociétés de négoce de crypto-monnaie, les fonds de capital-risque investissant dans la crypto-monnaie et les détenteurs individuels de grandes quantités de crypto-monnaie ou de précieux jetons non fongibles (NFT) .

Les chaînes d’attaque commencent par l’acteur de la menace qui s’adresse aux victimes via différentes plates-formes de communication pour les inciter à télécharger des applications de crypto-monnaie militarisées pour Windows et macOS, puis à tirer parti de l’accès pour propager le logiciel malveillant sur le réseau et mener des activités de suivi pour voler des clés privées. et initier des transactions de blockchain voyous.

« Les intrusions commencent par un grand nombre de messages de harponnage envoyés aux employés des sociétés de crypto-monnaie », indique l’avis. « Les messages imitent souvent un effort de recrutement et proposent des emplois bien rémunérés pour inciter les destinataires à télécharger des applications de crypto-monnaie contenant des logiciels malveillants. »

C’est loin d’être la première fois que le groupe déploie des logiciels malveillants personnalisés pour voler de la crypto-monnaie. D’autres campagnes montées par le groupe Lazarus consistent en l’opération AppleJeus, SnatchCrypto et, plus récemment, en utilisant des applications de portefeuille DeFi trojanisées pour déjouer les machines Windows.

La menace TraderTraitor comprend un certain nombre de fausses applications cryptographiques basées sur des projets open source et prétendant être des logiciels de trading ou de prévision de prix de crypto-monnaie, uniquement pour livrer le cheval de Troie d’accès à distance Manuscrypt, un logiciel malveillant précédemment lié aux campagnes de piratage du groupe contre les industries de la crypto-monnaie et des jeux mobiles.

La liste des applications malveillantes est ci-dessous –

*DAFOM (dafom[.]dev)
*TokenAIS (tokenais[.]com)
*CryptAIS (cryptais[.]com)
*AlticGO (alticgo[.]com)
*Esilet (esilet[.]com), et
*Plate-forme CreAI (creaideck[.]com)
La divulgation intervient moins d’une semaine après que le département du Trésor a attribué le vol de crypto-monnaie du réseau Ronin d’Axie Infinity au groupe Lazarus, sanctionnant l’adresse du portefeuille utilisée pour recevoir les fonds volés.

« Les cyber-acteurs parrainés par l’État nord-coréen utilisent une gamme complète de tactiques et de techniques pour exploiter les réseaux informatiques d’intérêt, acquérir une propriété intellectuelle sensible en crypto-monnaie et obtenir des actifs financiers », ont déclaré les agences.

« Ces acteurs continueront probablement d’exploiter les vulnérabilités des entreprises de technologie de crypto-monnaie, des sociétés de jeux et des échanges pour générer et blanchir des fonds pour soutenir le régime nord-coréen. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *