Lazarus renforce les capacités de son attaque AppleJeus contre les cryptomonnaies

0
109

En 2018 l’équipe GReAT (Global Research & Analysis Team) de Kaspersky publiait les résultats de son enquête sur AppleJeus, une opération visant à dérober des cryptomonnaies et menée par le prolifique groupe malveillant Lazarus. Aujourd’hui, de nouveaux résultats indiquent que l’opération se poursuit avec un surcroît de précautions de la part de ses auteurs, une amélioration de leurs tactiques et procédures, ainsi que l’utilisation de la messagerie Telegram comme l’un de leurs nouveaux vecteurs d’attaque. Des victimes ont été recensées au Royaume-Uni, en Pologne, en Russie et en Chine, dont plusieurs liées à des cryptomonnaies.

Tribune Kaspersky – Le groupe Lazarus est l’un des auteurs les plus actifs et prolifiques de menaces persistantes avancées (APT), à l’origine d’un certain nombre de campagnes ciblant des entreprises liées aux cryptomonnaies. Au cours de son opération AppleJeus initiale en 2018, le groupe avait créé une fausse société de cryptomonnaie afin de diffuser son application trafiquée et d’exploiter un niveau de confiance élevé parmi ses victimes potentielles. Cette opération était marquée par le premier malware conçu par Lazarus pour macOS. L’application était téléchargée par des utilisateurs sur des sites web tiers et la charge malveillante propagée via ce qui se présentait comme une mise à jour normale de l’application. La charge permettait aux assaillants de prendre le contrôle de la machine des utilisateurs et d’y voler de la cryptomonnaie.

Les chercheurs de Kaspersky ont repéré d’importants changements dans les tactiques d’attaque du groupe dans le nouveau « chapitre » de l’opération. Le vecteur utilisé dans l’attaque de 2019 ressemblait à celui de l’année précédente mais en y apportant quelques améliorations. Cette fois, Lazarus a créé de faux sites web liés à des cryptomonnaies, hébergeant des liens vers de faux canaux Telegram et diffusant le malware via la messagerie.

Tout comme dans la première opération AppleJeus, l’attaque se décompose en deux phases. Les utilisateurs commencent par télécharger une application et le module de téléchargement (downloader) associé récupère la charge malveillante suivante sur un serveur distant, permettant finalement à l’assaillant de prendre le contrôle total de la machine infectée au moyen d’une porte dérobée (backdoor) permanente. Cependant, cette fois, la charge a été injectée prudemment de façon à passer inaperçue des solutions de détection comportementale. Dans les attaques contre des cibles macOS, un mécanisme d’authentification a été ajouté au downloader destiné à ce système d’exploitation et le framework de développement a été modifié. En outre, une technique d’infection a été adoptée. Pour cibler les utilisateurs Windows, les auteurs des attaques ont évité d’utiliser le malware Fallchill – employé dans la première opération AppleJeus – et créé un malware réservé à chaque système, qui s’exécute après vérification d’une série de critères donnés. Ces modifications montrent que le groupe malveillant prend désormais plus de précautions dans ses attaques, en faisant appel à de nouvelles méthodes pour échapper à la détection.

Lazarus a également apporté des modifications significatives au malware macOS et augmenté le nombre de versions. A la différence de l’attaque précédente au cours de laquelle le groupe malveillant avait utilisé le logiciel open source QtBitcoinTrader afin de créer un programme d’installation pour macOS, il a employé, pour « AppleJeus, la suite » du code de son crû pour construire un installeur de malware. Ces évolutions signifient que le groupe va continuer de modifier le malware macOS, la dernière version en date détectée étant le résultat intermédiaire de ces modifications.

« La suite de l’opération AppleJeus montre qu’en dépit d’une nette stagnation du marché des cryptomonnaies, Lazarus continue d’investir dans des attaques dans ce domaine, en les rendant plus complexes. Au vu des nouvelles modifications et de la diversification de son malware, il y a toutes raisons de penser que ces attaques vont s’intensifier et constituer une menace encore plus sérieuse », commente Seongsu Park, chercheur en sécurité chez Kaspersky.

Le groupe Lazarus, connu pour la complexité de ses opérations et ses liens avec la Corée du Nord, se caractérise par des attaques, non seulement de cyberespionnage et de cybersabotage, mais aussi à motivation financière. Un certain nombre de chercheurs, dont ceux de Kaspersky, ont déjà signalé par le passé que ce groupe ciblait des banques et d’autres grands établissements financiers.

Pour assurer leur protection contre les attaques de ce type, nous recommandons aux entreprises de cryptomonnaie de prendre les mesures suivantes :

  • Organisez des cours de sensibilisation élémentaire à la sécurité pour l’ensemble du personnel afin de faciliter l’identification des tentatives de phishing.
  • Réalisez un audit de sécurité des applications. Cela pourra contribuer à démontrer votre fiabilité aux investisseurs potentiels.
  • Surveillez l’apparition de vulnérabilités dans les environnements d’exécution de contrats intelligents.

Aux consommateurs s’intéressant déjà aux cryptomonnaies ou prévoyant de le faire, Kaspersky adresse les conseils suivants :

  • Utilisez exclusivement des plateformes de cryptomonnaies fiables et éprouvées.
  • Ne cliquez pas sur des liens qui tentent de vous attirer vers une banque en ligne ou un portefeuille web.
  • Installez une solution de sécurité fiable offrant une protection complète contre un large éventail de menaces.