Alerte crypto : Lazarus a un nouveau malware indétectable

De retour pour vous jouer un mauvais tour. Cela fait maintenant plusieurs années que les hackers nord-coréens sévissent dans l’écosystème crypto. Ils ont ainsi dérobé plusieurs centaines de millions de dollars à travers plusieurs hacks retentissants. Désormais, les hackers de Lazarus groupe reprennent du service avec un nouveau logiciel malveillant.

Lazarus de retour avec un nouveau malware

Lazarus est un groupe de hacker nord-coréen bien connu de la sphère crypto. En juin dernier, ils ont été à l’origine du hack de Atomic Wallet. Dérobant ainsi un butin de 100 millions de dollars. Plus récemment, le FBI a émis l’hypothèse selon laquelle le groupe de hacker serait à l’origine de l’attaque qui a ciblé la plateforme de casino crypto Stake.com.

Lazarus Group met au point un nouveau malware

Malheureusement, ces évènements ne sont que deux attaques parmi les nombreux crypto-casses opérés par Lazarus Group.

Le 29 septembre, un groupe de chercheurs a révélé un nouveau mode opératoire ainsi qu’un nouveau logiciel malveillant utilisé par Lazarus.

Ainsi, les chercheurs de ESET ont découvert la nouvelle méthode utilisée par Lazarus suite à une attaque ayant ciblé une entreprise d’aérospatiale espagnole.

Pour ce faire, les hackers ont recours à une méthode basée sur des faux recrutements. Pour ce faire, les hackers vont contacter leurs victimes prétextant un recrutement professionnel en se faisant passer pour une entreprise reconnue.

Une fois la conversation installée, les hackers vont prétexter un défi de codage et envoyer un document à la victime. Malheureusement, cette dernière ne sait pas que derrière ce document se cache un malware.

Une fois téléchargé et exécuté, le malware va s’installer. Celui-ci sera alors en mesure d’effectuer de nombreuses actions sur la machine infectée. Cela permet notamment d’accéder de manière distantes aux machines infectées. D’en exfiltrer des données, voire même de se propager au sein d’un réseau de machines.

>> Les arnaques et autres Ponzi vous inquiètent ? Ledger a la solution (lien commercial) <<

LightlessCan : la porte dérobée utilisée par Lazarus

En pratique, le nouveau malware mis au point par Lazarus est basé sur une nouvelle porte dérobée jusqu’ici non documentée publiquement. Intitulée LightlessCan, celle-ci est une nouvelle version de la faille BlindingCan.

Une des caractéristiques de LightlessCan réside dans sa capacité à imiter de nombreuses commandes natives de Windows. Par conséquent, cela lui permet de s’exécuter de manière discrète sur la machine de la victime, pour ne pas éveiller les soupçons.

Il se « cache » en quelque sorte en agissant comme un programme normal, ce qui le rend difficile à détecter.

De plus, celui-ci opère sous la forme d’un Remote Access Trojan (RAT). Cela permet notamment à l’attaquant d’accéder de manière distante aux machines infectées.

Selon les services de renseignement sud-coréens, Lazarus groupe serait à l’origine du vol de plus de 180 millions de dollars depuis le début de l’année. À quoi viennent s’ajouter les 40 millions dérobés via le hack du casino Stake.

Les catastrophes et les hacks, ça n’arrive pas qu’aux autres ! Il vaut mieux ne jamais confier la sécurité de vos cryptomonnaies à un tiers. Pour dormir l’esprit tranquille, équipez-vous d’un  wallet hardware sécurisé Ledger, il y en a pour toutes les bourses. Votre sécurité n’a pas de prix (lien commercial).

Renaud H.

Ingénieur en software et en systèmes distribués de formation, passionné de cryptos depuis 2013. Touche à tout, entre mining et développement, je cherche toujours à en apprendre plus sur l’univers des cryptomonnaies et à partager le fruit de mes recherches à travers mes articles.