L’\u00e9quipe de piratage soutenue par l’\u00c9tat nord-cor\u00e9en, \u00e9galement connue sous le nom de groupe Lazarus, a \u00e9t\u00e9 attribu\u00e9e \u00e0 une autre campagne \u00e0 motivation financi\u00e8re qui exploite une application de portefeuille de financement d\u00e9centralis\u00e9 (DeFi) cheval de Troie pour distribuer une porte d\u00e9rob\u00e9e compl\u00e8te sur les syst\u00e8mes Windows compromis.<\/p>\n
L’application, qui est \u00e9quip\u00e9e de fonctionnalit\u00e9s pour enregistrer et g\u00e9rer un portefeuille de crypto-monnaie, est \u00e9galement con\u00e7ue pour d\u00e9clencher le lancement de l’implant qui peut prendre le contr\u00f4le de l’h\u00f4te infect\u00e9. La soci\u00e9t\u00e9 russe de cybers\u00e9curit\u00e9 Kaspersky mentionn\u00e9<\/a> il a rencontr\u00e9 l’application malveillante pour la premi\u00e8re fois \u00e0 la mi-d\u00e9cembre 2021.<\/p>\n Le sch\u00e9ma d’infection initi\u00e9 par l’application entra\u00eene \u00e9galement le d\u00e9ploiement du programme d’installation pour une application l\u00e9gitime, qui est \u00e9cras\u00e9e par une version cheval de Troie dans le but de brouiller les pistes. Cela dit, la voie d’acc\u00e8s initiale n’est pas claire, m\u00eame si l’on soup\u00e7onne qu’il s’agit d’un cas d’ing\u00e9nierie sociale.<\/p>\n Le logiciel malveillant g\u00e9n\u00e9r\u00e9, qui se fait passer pour le navigateur Web Chrome de Google, lance ensuite une application de portefeuille con\u00e7ue pour le DeFiChain<\/a>tout en \u00e9tablissant des connexions \u00e0 un domaine distant contr\u00f4l\u00e9 par un attaquant et en attendant d’autres instructions du serveur.<\/p>\n Sur la base de la r\u00e9ponse re\u00e7ue du serveur de commande et de contr\u00f4le (C2), le cheval de Troie proc\u00e8de \u00e0 l’ex\u00e9cution d’un large \u00e9ventail de commandes, lui permettant de collecter des informations syst\u00e8me, d’\u00e9num\u00e9rer et de terminer des processus, de supprimer des fichiers, de lancer de nouveaux processus et enregistrer des fichiers arbitraires sur la machine.<\/p>\n L’infrastructure C2 utilis\u00e9e dans cette campagne se composait exclusivement de serveurs Web pr\u00e9c\u00e9demment compromis situ\u00e9s en Cor\u00e9e du Sud, ce qui a incit\u00e9 la soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 \u00e0 travailler avec l’\u00e9quipe d’intervention d’urgence informatique du pays (KrCERT) pour d\u00e9manteler les serveurs.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/Nouveau-Wiper-Malware-ciblant-lUkraine-dans-le-cadre-de-loperation.png\")
<\/a><\/div>\n![\"Groupe](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1648848435_572_Des-pirates-nord-coreens-distribuent-des-applications-de-portefeuille-DeFi-trojanisees.jpg\" "\\"Groupe")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\n