Noord-Koreaanse hackers begonnen de Telegram-berichtenapp te gebruiken om malware te verspreiden waarmee ze cryptocurrencies konden stelen. Volgens het beveiligingsbedrijf Kaspersky, Lazarus Group zit achter de aanslagen.
Hoe gebruiken hackers Telegram om cryptocurrencies te stelen?
Het lijkt erop dat ze de aanvalsmethodologie aanzienlijk hebben veranderd, maar cryptocurrencies zijn nog steeds het belangrijkste gebied van hun interesse. Ze registreerden een niet-bestaand bedrijf om kwaadaardige bestanden aan macOS-gebruikers te bezorgen, en voegden een verificatiemechanisme toe waarmee gegevens in de volgende stap zorgvuldig kunnen worden overgedragen, en leerden ook hoe de malware in het geheugen kan worden geladen zonder toegang tot de schijf van het apparaat. Bovendien heeft de Windows-malware aanzienlijke veranderingen ondergaan.
Een voorbeeld van deze malware is UnionCryptoTrader, dat wordt geleverd als een handelsplatform voor slimme cryptocurrency-arbitrage, maar in feite de vertrouwelijke gegevens van gebruikers steelt.
Analisten van Kaspersky zeggen dat hackers steeds vaker de Telegram-app gebruiken, een favoriet communicatiemiddel tussen cryptocurrency-handelaren. Er werden verschillende nep-ICO-sites en handelsplatforms ontdekt die links naar kwaadwillende groepen op Telegram bevatten.
De aanval wordt de “Operatie AppleJeus Vervolg” genoemd als een voortzetting van de “Operatie AppleJeus” in 2018, stelt Kaspersky vast. En de slachtoffers komen uit het VK, Polen, Rusland en China.
Het is vermeldenswaard dat Lazarus-hackers vorig jaar een nepsite hebben gemaakt voor cryptohandel. Voordien werd bekend dat Lazarus-hackers een van de meest winstgevende georganiseerde misdaadgroeperingen ter wereld zijn.