La Corée du Nord utilise Telegram pour voler Bitcoin

  • Un groupe de hackers nord-coréens crée de faux sites Web de crypto-monnaies dans le but de voler Bitcoin.
  • Les pirates utilisent les groupes Telegram pour infecter les périphériques MacOS et Windows avec des logiciels malveillants.

Le groupe de hackers Lazarus associé au gouvernement nord-coréen a développé un nouveau modus operandi pour le vol de Bitcoin. La société de sécurité Kaspersky a publié un rapport détaillant les opérations du groupe. Selon ses recherches, le groupe a attaqué des individus en Russie, en Chine, au Royaume-Uni, en Pologne et des institutions financières dans le monde entier.

Kaspersky Labs a déterminé que l’opération de vol de crypto-monnaies connue sous le nom de « Operation AppleJeus Sequel  » est active depuis 2018. Le groupe utilise diverses méthodes pour attirer les victimes et infecter leurs ordinateurs avec des logiciels malveillants qui modifient la structure logicielle des ordinateurs touchés. De plus, les pirates utilisent les canaux Telegram pour diffuser des logiciels malveillants.

Modus Operandi du groupe Lazarus: vol non détecté de Bitcoin

L’opération  » AppleJeus Sequel  » s’inscrit dans la continuité d’une précédente opération lancée par le groupe Lazarus en 2018. A cette époque, Kaspersky a déterminé que les pirates avaient trouvé une méthode pour infecter les ordinateurs macOS. Le groupe profitait de la confiance que les utilisateurs ont dans leurs ordinateurs et leur système d’exploitation. Depuis lors, le groupe a développé une nouvelle méthode d’attaque qui consiste à créer toute une fausse infrastructure au sein du schéma de vol de Bitcoin.

L’attaque se déroule en plusieurs étapes. Elle implique la création de fausses pages Web, entreprises et plates-formes, et le développement de logiciels malveillants maison spécialement conçus pour attaquer les utilisateurs de MacOS et de Windows. La première étape de l’attaque commence sur les faux sites Web et les fausses plates-formes mentionnés. Kaspersky Labs a réussi à trouver certains de ces sites Web encore actifs en tant que cyptiens et unioncrypto.

Bitcoin BTC

Website of cyptian.com. Source: https://securelist.com/operation-applejeus-sequel/95596/

The infrastructure is the initial means by which users’ computers are exposed to malware. The report states that hackers accompany these fake media with Telegram channels that add a second stage to their modus operandi. Telegram is one of the most popular means of communication in the cryptocommunity.

Attackers take advantage of this to insert « deliberately manipulated » applications. The security firm managed to find an active channel used by the attackers. The Telegram channel was created in December 2018. This gives an idea of how old the operation is and how much time hackers have had to perfect their modus operandi.

Then, users are attacked depending on their operating system and device. For macOS users it was determined that attackers use malware manufactured specifically for these computers. Lazarus inserted an authentication mechanism into the malware that affects the system without touching the disk. Kaspersky mentions the example of a fake application called JMTTrading that uses a simple backdoor function in its execution.

Windows users are affected by a decryption mechanism that can be disguised as an updater for a specific wallet. Fortunately, the research was able to determine the name of the fake program: WFC wallet updater. In the image below Kaspersky shows the execution flow of the malware created by the Lazarus group.

Bitcoin BTC

Malware execution flow. Source: https://securelist.com/operation-applejeus-sequel/95596/

Les attaques pour voler des bitcoins seront plus sophistiquées

Bien que l’enquête de la société de sécurité ait pu déterminer le modus operandi actuel du groupe Lazarus, ses conclusions sont pessimistes. Kaspersky affirme que le changement du modus operandi des attaquants se poursuivra et qu’il deviendra plus sophistiqué avec le temps.

L’écosystème des cryptoc-monnaies est familier avec des attaques de cette nature. Comme CNF a fait état de deux attaques majeures qui se sont produites dans l’industrie de la crypto-monnaies. La première a été menée sur le cryptoéchange du Mont Gox et ses victimes attendent toujours la rétribution de leur investissement perdu. Une autre attaque plus récente a été menée avec le portefeuille PlusToken, qui s’est avéré être une combine à la Ponzi qui a réussi à soustraire plus de 3 milliards de dollars US de Bitcoin et Ethereum.

Cependant, le développement de nouveaux logiciels malveillants et de nouvelles méthodes d’attaque oblige les cryptographes à être de plus en plus vigilants sur ce genre d’attaques. À l’avenir, il pourrait être difficile de déterminer si un site Web est authentique à première vue ou s’il fait partie d’un plan de vol beaucoup plus vaste.

Suivez-nous sur Facebook et Twitter et ne manquez plus aucune nouvelle! Vous appréciez nos indices de prix?

About Author

Reynaldo Marquez has closely followed the growth of Bitcoin and blockchain technology since 2016. He has since worked as a columnist on crypto coins covering advances, falls and rises in the market, bifurcations and developments. He believes that crypto coins and blockchain technology will have a great positive impact on people's lives.

Les commentaires sont fermés.