Die vom nordkoreanischen Staat unterstützte Hackergruppe, auch bekannt als Lazarus Group, wird für eine weitere finanziell motivierte Kampagne verantwortlich gemacht, die eine trojanisierte dezentrale Finanz-App (DeFi) nutzt, um eine voll funktionsfähige Backdoor auf kompromittierten Windows-Systemen zu verbreiten.
Die App, die mit Funktionen zum Speichern und Verwalten einer Kryptowährungs-Brieftasche ausgestattet ist, wurde auch entwickelt, um den Start des Implantats auszulösen, das die Kontrolle über den infizierten Rechner übernehmen kann. Das russische Cybersicherheitsunternehmen Kaspersky gab an, dass es Mitte Dezember 2021 zum ersten Mal auf die bösartige Anwendung gestoßen ist.
Das von der App initiierte Infektionsschema führt auch dazu, dass der Installer einer legitimen Anwendung mit einer trojanisierten Version überschrieben wird, um seine Spuren zu verwischen. Der ursprüngliche Zugangsweg ist jedoch unklar, obwohl vermutet wird, dass es sich um Social Engineering handelt.
Die Malware, die sich als Googles Chrome-Webbrowser tarnt, startet anschließend eine für die DeFiChain entwickelte Wallet-App, während sie gleichzeitig Verbindungen zu einer vom Angreifer kontrollierten Domain aufbaut und auf weitere Anweisungen vom Server wartet.
Auf der Grundlage der vom Command-and-Control (C2)-Server erhaltenen Antwort führt der Trojaner eine Vielzahl von Befehlen aus, die ihm die Möglichkeit geben, Systeminformationen zu sammeln, Prozesse aufzuzählen und zu beenden, Dateien zu löschen, neue Prozesse zu starten und beliebige Dateien auf dem Rechner zu speichern.
Die C2-Infrastruktur, die in dieser Kampagne verwendet wurde, bestand ausschließlich aus zuvor kompromittierten Webservern in Südkorea, was das Cybersecurity-Unternehmen dazu veranlasste, mit dem Computer Emergency Response Team (KrCERT) des Landes zusammenzuarbeiten, um die Server zu demontieren.
Die Erkenntnisse kommen mehr als zwei Monate nachdem Kaspersky Details über eine ähnliche „SnatchCrypto“-Kampagne der Lazarus-Untergruppe BlueNoroff bekannt gegeben hatte, mit der digitale Gelder aus den MetaMask-Geldbörsen der Opfer abgezogen wurden.
„Für die Lazarus-Bedrohungsakteure ist finanzieller Gewinn eine der Hauptmotivationen, wobei ein besonderer Schwerpunkt auf dem Geschäft mit Kryptowährungen liegt. Da der Preis von Kryptowährungen in die Höhe schießt und die Popularität von nicht-fungiblen Token (NFT) und dezentralen Finanzgeschäften (DeFi) weiter zunimmt, entwickelt sich das Ziel der Lazarus-Gruppe in der Finanzbranche weiter“, so die Kaspersky GReAT-Forscher.