В середине декабря прошлого года на VirusTotal — портал для проверки файлов на вредоносность — загрузили подозрительный файл. На первый взгляд он выглядел как установочный файл криптовалютного кошелька. Наши эксперты проанализировали его и выяснили, что помимо кошелька он доставляет на устройство вредоносную программу. Причем за этой программой, судя по всему, стоят не мелкие сошки, а известные киберпреступники Lazarus.
Что представляет собой группировка Lazarus
Lazarus относится к APT-группировкам — киберпреступным организациям, которые обычно хорошо финансируются, разрабатывают сложные вредоносные программы и специализируются на целевых атаках, например промышленном или политическом шпионаже. Кража денег чаще всего если и интересует такие группировки, то далеко не в первую очередь.
Однако Lazarus как раз из тех, кто активно охотится за чужими деньгами. Например, в 2016 году эти злоумышленники украли кругленькую сумму у Центрального банка Бангладеш, в 2018-м заразили зловредом криптовалютную биржу, а в 2020-м попробовали себя в роли вымогателей.
DeFi-кошелек с бэкдором
Файл, который попал на глаза нашим исследователям, содержал зараженный установщик легитимного децентрализованного криптокошелька. DeFi (decentralized finance, «децентрализованные финансы») — это финансовая модель, в которой нет посредников вроде банков, а все операции совершаются между пользователями напрямую. В последние годы DeFi-технологии все больше набирают популярность. Например, по данным Forbes, с мая 2020 по май 2021 года стоимость активов, размещенных в DeFi-системах, выросла в 88 раз. Неудивительно, что децентрализованные финансы привлекают внимание злоумышленников.
Как именно пользователя убеждают скачать и запустить зараженный файл, наверняка не известно. Однако наши эксперты предполагают, что злоумышленники отправляют жертвам целевые фишинговые письма или сообщения в соцсетях. В отличие от массовых рассылок, такие письма и сообщения составляются из расчета на конкретного получателя и могут выглядеть очень правдоподобно.
Так или иначе, когда пользователь запускает установщик, тот создает два исполняемых файла: вредоносную программу и чистый установщик кошелька. Зловред маскируется под браузер Google Chrome и пытается скрыть существование зараженного установщика, скопировав на его место чистый файл, который тут же запускает, чтобы пользователь ничего не заподозрил. Кошелек успешно устанавливается, а зловред при этом продолжает работать в фоновом режиме.
Чем опасен зловред
Вредоносная программа, которая попадает на компьютер с DeFi-кошельком, — это бэкдор, то есть лазейка для злоумышленников. В зависимости от их намерений он может как собирать информацию, так и давать им удаленный контроль над устройством. В частности, он способен:
- Запускать и завершать процессы.
- Выполнять команды на устройстве.
- Скачивать файлы на устройство, удалять их и отправлять файлы с устройства на свой командный сервер.
То есть в случае успешной атаки зловред может и антивирус отключить, и украсть что угодно — от ценных документов до аккаунтов и денег, и загрузить на компьютер другую заразу, если злоумышленники сочтут это нужным. Как обычно, больше подробностей можно найти в техническом разборе трояна на нашем экспертном блоге Securelist.
Как не стать жертвой
Если вы работаете с финансами, и особенно — с криптовалютой, то стоит с настороженностью относиться к письмам и сообщениям, в которых вас склоняют к установке незнакомых программ. Кроме того, стоит позаботиться о безопасности ваших устройств — в первую очередь тех, которые вы используете для работы с криптокошельками. Надежное защитное решение поможет вам там, где простой внимательностью обойтись не получится.