La CISA, le FBI et le département du Trésor américain ont averti aujourd’hui que le groupe de piratage nord-coréen Lazarus cible les organisations des secteurs de la crypto-monnaie et de la blockchain avec des applications de crypto-monnaie trojanisées.
Les attaquants utilisent l’ingénierie sociale pour inciter les employés des sociétés de crypto-monnaie à télécharger et à exécuter des applications malveillantes de crypto-monnaie Windows et macOS.
Les opérateurs de Lazarus utilisent ensuite ces outils trojanisés pour accéder aux ordinateurs des cibles, propager des logiciels malveillants sur leurs réseaux et voler des clés privées qui permettent d’initier des transactions frauduleuses sur la chaîne de blocs et de voler les actifs cryptographiques des victimes dans leurs portefeuilles.
« Les intrusions commencent par un grand nombre de messages de harponnage envoyés aux employés des sociétés de crypto-monnaie – travaillant souvent dans l’administration système ou le développement de logiciels/opérations informatiques (DevOps) – sur une variété de plates-formes de communication », un conseil commun publié le lundi se lit.
« Les messages imitent souvent un effort de recrutement et proposent des emplois bien rémunérés pour inciter les destinataires à télécharger des applications de crypto-monnaie contenant des logiciels malveillants, que le gouvernement américain appelle TraderTraitor. »
Les applications TraderTraitor trojanisées sont des utilitaires basés sur Electron et multiplateformes développés à l’aide de JavaScript et de l’environnement d’exécution Node.js.
Les applications TraderTraitor sont presque toujours diffusées via des sites Web au design moderne annonçant les fonctionnalités présumées des fausses applications cryptographiques.
« Les charges utiles observées incluent des variantes macOS et Windows mises à jour de Manuscrypt, un cheval de Troie d’accès à distance personnalisé (RAT), qui collecte des informations système et a la capacité d’exécuter des commandes arbitraires et de télécharger des charges utiles supplémentaires », ont ajouté les agences fédérales.
Parmi les applications malveillantes de crypto-monnaie TraderTraitor utilisées dans ces campagnes, l’avis conjoint met en évidence :
- DAFOM : une « application de portefeuille de cryptomonnaies » (macOS)
- TokenAIS : prétend aider à « construire un portefeuille de trading basé sur l’IA » pour les crypto-monnaies (macOS)
- CryptAIS : prétend aider à « construire un portefeuille de trading basé sur l’IA » (macOS)
- AlticGO: prétend offrir des prix de crypto-monnaie en direct et des prévisions de prix (Windows)
- Esilet : prétend offrir des prix en direct des crypto-monnaies et des prévisions de prix (macOS)
- CreAI Deck : prétend être une plate-forme pour « l’intelligence artificielle et l’apprentissage en profondeur » (Windows et macOS)
L’année dernière, le FBI, la CISA et le département américain du Trésor ont également partagé des informations sur des applications malveillantes et fausses de crypto-trading injectées avec le logiciel malveillant AppleJeus utilisé par Lazarus pour voler la crypto-monnaie des particuliers et des entreprises du monde entier.
La liste des applications trojanisées à l’aide d’AppleJeus comprend Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio et Ants2Whale.
Le ministère américain de la Justice a accusé trois membres du groupe Lazarus d’avoir volé 1,3 milliard de dollars en argent et en crypto-monnaie lors de multiples attaques contre des banques, l’industrie du divertissement, des sociétés de crypto-monnaie et d’autres organisations dans le monde.
En 2019, un rapport confidentiel des Nations Unies a également déclaré que les opérateurs nord-coréens ont volé environ 2 milliards de dollars dans au moins 35 cyberattaques contre des banques et des échanges cryptographiques dans plus d’une douzaine de pays.
La même année, le département du Trésor américain a sanctionné trois groupes de piratage nord-coréens (Lazarus Group, Bluenoroff et Andariel) pour avoir acheminé les actifs financiers qu’ils ont volés lors de cyberattaques vers le gouvernement nord-coréen.