Uniswap стал инструментом для атак на трейдеров

Команда 360 Advanced Threat Research Institute обнаружила новую кампанию группировки Lazarus, ходе которого распространяется вредоносное ПО, замаскированное под установщик популярного инструмента для автоматической торговли криптовалютами — Uniswap Sniper Bot. Программа выглядит как легальное приложение, но в процессе установки запускает скрытые вредоносные функции, которые крадут данные пользователей.

Группа Lazarus ( APT -C-26) продолжает атаковать компании и пользователей по всему миру. Главные цели — финансовые учреждения, криптовалютные биржи, госорганизации, а также аэрокосмическая и оборонная отрасли. Задачи хакеров — кража денег и конфиденциальной информации. Lazarus использует сложные методы, такие как фишинг, программы-вымогатели и скрытые вирусы, которые работают на Windows, macOS и Linux.

В данной кампании злоумышленники изменили код Uniswap Sniper Bot и упаковали его с помощью Electron, что позволило запустить вредоносное ПО на разных платформах. Когда пользователь устанавливает приложение, программа показывает обычный процесс установки, но в фоновом режиме запускает вредоносный код. Код загружает дополнительные модули, которые крадут данные браузеров и криптокошельков.

Одним из таких вредоносных файлов стал uniswap-sniper-bot-with-guiSetup1.0.0.exe. Его размер — 70,68 МБ, а сложная обфускация позволяет обходить антивирусные проверки. Основной зловредный код, встроенный в установщик, активируется во время инсталляции, а вредоносная нагрузка постепенно распространяется через несколько уровней загрузки.

Вредоносный код похищает данные из браузеров Chrome, Brave и Opera и отправляет их на сервер атакующих. Также загружаются дополнительные скрипты, которые выполняют команды злоумышленников.

Для атаки использовались три основных вредоносных модуля:

· n2pay — для мониторинга системы, кражи файлов и выполнения команд;

· n2bow — для кражи данных из браузеров;

· n2mlip — для записи нажатий клавиш (кейлоггинг), отслеживания буфера обмена и активности окон.

Все модули загружались с серверов Lazarus, помогая похищать данные и контролировать системы жертв.

Группа Lazarus часто использует похожие методы, такие как отравление библиотек Python и Node.js, а также заражение установочных файлов популярных программ. В данной атаке хакеры использовали порты 1224 и 1244 на своих серверах, что характерно для Lazarus. Всё это подтверждает, что за атакой стоит именно эта группа.

В сентябре Palo Alto Networks описала деятельность хакерских группировок, связанных с разведкой Северной Кореи. Группы, которые в публичных отчётах часто объединяются под названием Lazarus, работают в интересах правительства КНДР, занимаясь кибер шпионажем , финансовыми преступлениями и разрушительными атаками на различные отрасли по всему миру.