Hacker Group Lazarus benutzt gefälschte Börsen, Telegrammgruppen


Ein neuer Bericht zeigt, dass die mit Nordkorea verbundene Lazarus-Gruppe seit den ersten Angriffen neue Techniken angepasst und weiterentwickelt hat und gefälschte Handelsplattformen verwendet, die mit Telegrammkanälen verknüpft sind, die Malware verbreiten, und ihre Malware durch Hinzufügen eines Authentifizierungsmechanismus "verdeckter" macht das macOS “, unter anderem mit taktik. Seit der berüchtigten vorherigen Kampagne der Gruppe, der "Operation Applejeus", haben die Opfer weiterhin Bitcoin an die Betrüger verloren. Der Bericht zeigt auf, wie Benutzer verhindern können, dass sie den Fallen zum Opfer fallen.

Operation Applejeus, die Fortsetzung
Ein neuer Bericht der Cybersecurity-Gruppe Kaspersky enthüllt, dass die berüchtigte Hacker-Gruppe Lazarus, die angeblich mit der nordkoreanischen Region Pjöngjang in Verbindung steht und in den letzten Jahren angeblich für Hacks im Wert von über 570 Millionen US-Dollar verantwortlich ist, ihre Methoden weiterentwickelt hat. Über gefälschte Exchange-Sites, Telegrammgruppen, "hausgemachte MacOS-Malware" und "ein mehrstufiges Infektionsverfahren" kann die Gruppe ahnungslose Opfer an sich reihen, übernimmt die Kontrolle wie beim ersten Applejeus, entlastet sie jedoch jetzt auf komplexere Weise von ihren Bitcoins.

Der Bericht enthält folgende Details: „Während der Verfolgung dieser Kampagne haben wir stärker deformierte macOS-Malware identifiziert. Zu der Zeit rief der Angreifer ihre gefälschte Website und Anwendung JMTTrading auf. Andere Forscher und Sicherheitsanbieter fanden es ebenfalls und veröffentlichten IoCs mit zahlreichen technischen Details. “

Methodik und wie man sicher bleibt
Während viele der erkannten Betrugsseiten und Telegrammgruppen inaktiv zu sein scheinen, stellt Kaspersky fest: „In dieser Folge von Operation AppleJeus konnten wir mehrere Opfer identifizieren. Die Opfer wurden in Großbritannien, Polen, Russland und China registriert. Darüber hinaus konnten wir bestätigen, dass einige der Opfer mit Geschäftseinheiten in Kryptowährung in Verbindung stehen.

Wir spekulieren, dass der Schauspieler kostenlose Webvorlagen wie diese verwendet hat, um seine gefälschten Websites zu erstellen. Außerdem gibt es eine Telegrammadresse (@cyptian) auf der kyptischen Website. Wie bereits erwähnt, lieferte der Schauspieler eine manipulierte Anwendung über den Telegramm-Messenger.

In einigen Fällen vermutet Kaspersky, dass Malware über eine Telegrammgruppe verbreitet wurde, die mit einer gefälschten Website verbunden ist. In anderen Fällen wird angenommen, dass Links auf gefälschten Websites der Weg sind, über den die jetzt angepassten und komplexeren Mac- und Windows-Fehler in ein System gelangen. Das aktualisierte Angriffsverfahren scheint mehrere Nutzdaten in stark angepassten Protokollen zu verwenden, die sorgfältig entwickelt wurden, um der Erkennung zu entgehen.

Hacker-Gruppe Lazarus verwendet gefälschte Börsen und Telegrammgruppen für die neuesten Malware-Angriffe
Eine andere falsche Handelsseite.
"Um MacOS-Benutzer anzugreifen, hat die Lazarus-Gruppe hausgemachte MacOS-Malware entwickelt und einen Authentifizierungsmechanismus hinzugefügt, um die Nutzdaten der nächsten Stufe sehr sorgfältig bereitzustellen und die Nutzdaten der nächsten Stufe zu laden, ohne die Festplatte zu berühren", heißt es im Bericht.

Hacker-Gruppe Lazarus verwendet gefälschte Börsen und Telegrammgruppen für die neuesten Malware-Angriffe

„Um Windows-Benutzer anzugreifen, haben sie außerdem ein mehrstufiges Infektionsverfahren entwickelt und die endgültige Nutzlast erheblich geändert. Wir sind der Meinung, dass die Lazarus-Gruppe nach der Veröffentlichung von Operation AppleJeus bei ihren Angriffen vorsichtiger vorgegangen ist und eine Reihe von Methoden angewendet hat, um eine Entdeckung zu vermeiden. “

Obwohl diese Betrugsseiten entdeckt wurden, gibt es zweifellos noch viele weitere, und Benutzer sollten beim Umgang mit einer neuen Gruppe Vorsichtsmaßnahmen treffen. Wie immer im Krypto-Bereich: Nicht vertrauen, überprüfen. Wenn eine Website oder Telegrammgruppe verdächtig erscheint und eine seltsame URL, eine Reihe nicht funktionierender Links, Rechtschreibfehler usw. aufweist, ist es am besten, ihr nicht zu vertrauen und vor weiteren Recherchen nichts herunterzuladen.

Bildnachweis: Shutterstock, fair use.

Quelle: bitcoin von Graham Smith

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

Werbung: Immobilienmakler HeidelbergMakler Heidelberg

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close