Новости 🛡 Северокорейские хакеры запустили новый вирус для атак на криптопроекты

[MariSokol369]

Специалисты по кибербезопасности зафиксировали новую активность хакерской группировки Lazarus Group.

Злоумышленники используют продвинутое вредоносное ПО для проникновения в инфраструктуру компаний, связанных с индустрией криптовалют.

Механика социальной инженерии

Атака строится на доверии и имитации деловой активности:

• Контакты: Злоумышленники связываются с жертвами в Telegram, выдавая себя за представителей известных трейдинговых компаний.
• Фишинг: Под предлогом назначения деловой встречи хакеры присылают ссылки на поддельные страницы сервисов Calendly и Picktime, что запускает процесс заражения устройства.

🏛 Скрытность и этапы проникновения

Эксперты Fox-IT подчеркивают, что вредоносный софт спроектирован для максимальной незаметности:

• DPAPILoader: Первая программа, использующая системные механизмы Windows для расшифровки кода.
• RemotePELoader: Компонент, который устанавливает связь с сервером и загружает основной троян прямо в оперативную память.
• Работа без файлов: Троян RemotePE функционирует исключительно в оперативной памяти (RAM), не записывая данные на жесткий диск. Это делает его крайне сложным для обнаружения стандартными антивирусами.

Цели и масштабы угрозы

Основная задача RemotePE — это не мгновенная кража, а длительное "скрытое присутствие". Хакеры используют доступ к системе для сбора конфиденциальных данных и анализа активности пользователей, готовясь к масштабному хищению цифровых активов.

Резюме: Lazarus Group остается одной из самых опасных угроз в криптоиндустрии. По данным TRM Labs, за последние девять лет северокорейские хакеры суммарно украли криптовалюты на сумму более $6 млрд. Новый вирус лишь подтверждает готовность группировки инвестировать в сложные инструменты для проведения долгосрочных шпионских операций.

 

[ForumOK]

Показательная история: уже не “зашел по ссылке — словил вирус”, а полноценная многоэтапная операция с нормальной легендой, поддельными бизнес-сервисами и загрузкой полезной нагрузки прямо в память. Для криптокомпаний это особенно неприятный сценарий, потому что там часто много коммуникации в Telegram, быстрые созвоны, внешние контакты и высокий уровень доверия к “партнерам”.

Самое опасное тут даже не сам троян, а именно модель атаки: сначала втираются в доверие, потом заводят на фейковый Calendly/Picktime, а дальше уже идет тихое закрепление в системе. Если malware работает fileless, многие базовые средства защиты реально могут это пропустить, особенно если в компании слабый контроль PowerShell, памяти, сетевых соединений и поведения процессов.

Lazarus давно показывает, что работает не как обычные массовые мошенники, а как очень терпеливый APT-игрок. Им не нужен быстрый результат “здесь и сейчас” — они могут неделями сидеть в инфраструктуре, изучать процессы, смотреть кто и как управляет кошельками, где хранятся ключи, как устроены доступы и кто утверждает транзакции.

Для рынка это еще одно напоминание, что главная дыра часто не в блокчейне и не в смарт-контракте, а в людях и корпоративной инфраструктуре. Telegram-контакты, фейковые встречи, поддельные SaaS-страницы — все это бьет по операционке бизнеса, а не по криптографии.

Особенно тревожно, что цель — не просто украсть один логин или один seed, а получить устойчивый доступ и подготовить крупное хищение. То есть ущерб может проявиться не сразу, а спустя время, когда атакующие уже полностью понимают внутреннюю кухню компании.

Вывод тут простой: любая “деловая встреча” из Telegram с переходом по внешней ссылке должна восприниматься как потенциальный инцидент. Для криптосектора это уже не паранойя, а базовая гигиена.

 

[Kociak]

Ох уж эти лазарус, опять новую заразу придумали, теперь вирус сидит в оперативке и следит за тобой, не оставляя следов на диске. Прикинулись календарем и все, ты уже под колпаком. 6 ярдов за 9 лет это серьезный бюджет, им лишь бы доступ к закрытым ключам получить. Я теперь еще осторожнее буду с ссылками в телеге, даже если пишут от знакомого бренда. Холодный кошелек и никаких файлов от незнакомцев. Берегитесь.