El grupo de Corea del Norte denominado «Lazarus» está asociado a una nueva aplicación de criptomonedas, que tiene como objetivo instalar el malware AppleJeus para proporcionar acceso a la red y robar activos criptográficos.
En dicha campaña se utilizaba el dominio «bloxholder[.]com» clonando el contenido de HaasOnline, una plataforma de comercio de criptomonedas actualizada.
En este lugar, se distribuía un instalador de MSI de Windows de 12,7MB pretendiendo ser la app de BloxHolder. Cuando en realidad, resultó ser el malware AppleJeus junto a otra aplicación, QTBitcoinTrader.
| Nombre del archivo | BloxHolder_v1.2.5.msi |
| Tamaño | 13305856 bytes |
| MD5 | 245bb604621cea7962668325995bca7c |
| SHA1 | cc5544eff3e5b9cf20d8cf2291147596d4346dbe |
| SHA256 | eee4e3612af96b694e28e3794c4ee4af2579768e8ec6b21daf71acfc6e22d52b |
Posteriormente el grupo evolucionó su campaña para usar documentos de MICROSOFT OFFICE en lugar de el instalador para distribuir el malware.
Dicho documento de 214KB con nombre «OKX Binance & Huobi VIP fee comparision.xls» contenían una macro que creaba 3 archivos en el dispositivo de la víctima.
Tras la instalación a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta «%APPDATA%\Roaming\Bloxholder\«.
A continuación recopila la MAC, nombre del equipo, versión del sistema operativo y posteriormente envia todos los datos al C2 (servidor command & control) a través de una petición HTTP de tipo POST. Dicha solicitud tendría como objetivo comprobar si se está ejecutando en una máquina virtual o en algún otro tipo de entorno asilado.
«Específicamente, CameraSettingsUIHost.exe carga el archivo dui70.dll del directorio System32, lo que provoca la carga del archivo malicioso DUser.dll del directorio de la aplicación en el proceso CameraSettingsUIHost.exe. «
Explicó Volexity
Sin embargo, dicha carga del malware es capaz de evadir la detección de Antivirus debido a que, el archivo dui70.dll, es el Motor DirectUI de Windows y normalmente se instala como parte del sistema operativo.
Actualmente la razón por la que Lazarus optó por la carga lateral de DLL encadenada no está clara, pero podría ser para impedir el análisis de malware.
Otra característica nueva en las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo personalizado, lo que las hace más sigilosas frente a los productos de seguridad.
Mas información:
- https://malpedia.caad.fkie.fraunhofer.de/details/osx.applejeus
- https://www.bleepingcomputer.com/news/security/hackers-use-new-fake-crypto-app-to-breach-networks-steal-cryptocurrency/
- https://www.volexity.com/blog/2022/12/01/buyer-beware-fake-cryptocurrency-applications-serving-as-front-for-applejeus-malware/
Deja una respuesta