Nordkorea nutzt Telegram Messenger um Bitcoin zu stehlen

  • Eine Gruppe von nordkoreanischen Hackern erstellen gefälschte Webseiten um Bitcoin zu stehlen.
  • Weiterhin nutzen Hacker Telegrammgruppen, um MacOS- und Windows-Geräte mit Malware zu infizieren.

Die mit der nordkoreanischen Regierung verbundene Hackergruppe Lazarus hat einen neuen Modus Operandi für den Diebstahl von Bitcoin entwickelt. Die Sicherheitsfirma Kaspersky veröffentlichte einen Bericht, der die Operationen der Gruppe detailliert beschreibt. Nach ihren Recherchen hat die Gruppe Personen in Russland, China, Großbritannien, Polen und Finanzinstitutionen auf der ganzen Welt angegriffen.

Kaspersky Labs hat festgestellt, dass die Operation zum Diebstahl von Kryptowährungen, bekannt als „Operation AppleJeus Sequel“, seit 2018 aktiv ist. Die Gruppe nutzt verschiedene Methoden, um Opfer anzulocken und ihre Computer mit Malware zu infizieren, die die Softwarestruktur der betroffenen Computer verändert. Darüber hinaus nutzen Hacker Telegrammkanäle, um bösartige Malware zu verbreiten.

Modus Operandi der Lazarus-Gruppe: unerkannter Diebstahl von Bitcoin

Die „Operation AppleJeus Sequel“ ist die Fortsetzung einer früheren Operation, die von der Lazarus-Gruppe im Jahr 2018 gestartet wurde. Damals stellte Kaspersky fest, dass Hacker eine Methode gefunden hatten, um MacOS-Computer zu infizieren. Die Gruppe nutzte das Vertrauen der Benutzer schamlos aus. Seitdem hat die Gruppe eine neue Angriffsmethode entwickelt, die darin besteht, eine gefälschte Infrastruktur innerhalb des auf den Endgeräten der Nutzer zu schaffen.

Der Angriff erfolgt in mehreren Stufen. Er umfasst die Erstellung von gefälschten Webseiten, Unternehmen und Plattformen sowie die Entwicklung von hausgemachter Malware speziell für den Angriff auf MacOS- und Windows-Benutzer. Die erste Stufe des Angriffs beginnt auf den genannten gefälschten Webseiten und Plattformen. Kaspersky Labs konnte einige dieser Websites finden, die noch immer als „cyptian“ und „unioncrypt“ aktiv sind.

Bitcoin BTC

Website of cyptian.com. Source: https://securelist.com/operation-applejeus-sequel/95596/

Die Infrastruktur ist das erste Mittel, mit dem die Computer der Benutzer der Malware ausgesetzt werden. Der Bericht stellt fest, dass Hacker diese gefälschten Medien mit Telegrammkanälen begleiten, die ihrer Arbeitsweise eine zweite Ebene hinzufügen. Telegramm ist eines der beliebtesten Kommunikationsmittel in der Cryptocommunity.

Angreifer nutzen dies aus, um „absichtlich manipulierte“ Anwendungen einzufügen. Der Sicherheitsfirma ist es gelungen, einen aktiven Kanal zu finden, der von den Angreifern genutzt wird. Der Telegrammkanal wurde im Dezember 2018 eingerichtet. Dies gibt eine Vorstellung darüber, wie alt die Operation ist und wie viel Zeit die Hacker hatten, ihre Arbeitsweise zu perfektionieren.

Danach werden die Benutzer je nach Betriebssystem und Gerät angegriffen. Für macOS-Benutzer wurde festgestellt, dass die Angreifer speziell für diese Computer hergestellte Malware verwenden. Lazarus fügte einen Authentifizierungsmechanismus in die Malware ein, der das System beeinflusst, ohne die Festplatte zu berühren. Kaspersky erwähnt das Beispiel einer gefälschten Anwendung namens JMTTrading, die eine einfache Backdoor-Funktion in ihrer Ausführung verwendet.

Windows-Benutzer sind von einem Entschlüsselungsmechanismus betroffen, der als Updater für eine bestimmte Wallet getarnt werden kann. Glücklicherweise konnten die Forscher den Namen des gefälschten Programms ermitteln: WFC Wallet-Updater. In der folgenden Abbildung zeigt Kaspersky den Ablaufplan der von der Lazarus-Gruppe erstellten Malware.

Bitcoin BTC

Malware execution flow. Source: https://securelist.com/operation-applejeus-sequel/95596/

Angriffsmethoden der Hacker wird zunehmend raffinierter

Obwohl die Untersuchung der Sicherheitsfirma den aktuellen Modus Operandi der Lazarus-Gruppe bestimmen konnte, sind ihre Schlussfolgerungen pessimistisch. Kaspersky behauptet, dass sich die Veränderung der Vorgehensweise der Angreifer fortsetzen wird und dass sie mit der Zeit immer ausgefeilter wird.

Die Community ist mit solchen Angriffen jedoch vertraut. CNF hat bereits in der Vergangenheit über zwei große Angriffe berichtet, die in der Kryptoindustrie stattgefunden haben. Der erste wurde auf der Börse Mt. Gox durchgeführt und die Opfer des Hacks warten immer noch auf eine entsprechende Entschädigung. Ein weiterer Hack wurde innerhalb des PlusToken Schemes ausfindig gemacht. Dabei konnten, mehr als 3 Milliarden USD an Bitcoin und Ethereum gestohlen werden.

Die Entwicklung neuer Malware und Angriffsmethoden zwingt die Community jedoch zu immer größerer Wachsamkeit gegenüber dieser Art von Angriffen. Folge uns auf Facebook und Twitter und verpasse keine brandheißen Neuigkeiten mehr! Gefällt dir unsere Kursübersicht?

About Author

Reynaldo Marquez has closely followed the growth of Bitcoin and blockchain technology since 2016. He has since worked as a columnist on crypto coins covering advances, falls and rises in the market, bifurcations and developments. He believes that crypto coins and blockchain technology will have a great positive impact on people's lives.

Comments are closed.