La Corée du Nord toujours activement à la recherche de Bitcoins

Des chercheurs de la société Secureworks affirment que des logiciels malveillants sont distribués dans les courriels d’hameçonnage en se servant de fausses annonces d’emploi. L’unique suspect: la Corée du Nord

Un groupe prolifique de cybercriminels ayant des liens avec la Corée du Nord s’attaque aux employés des entreprises de crypto-monnaies dans le but de voler des bitcoins.

Ces attaques « phishing » seraient l’œuvre du Groupe Lazarus, une organisation de pirates informatiques soupçonnée d’être associée à la Corée du Nord. Ce groupe a déjà été lié à des attaques très médiatisées, notamment l’épidémie du ransomware WannaCry, le vol de 80 millions de dollars d’une banque en ligne bangladaise et le piratage de Sony Pictures en 2014.

Découvertes par Secureworks, ces tentatives de piratage ont ciblé des employés d’au moins une société londonienne spécialisée dans les monnaies cryptographiques. Les chercheurs suggèrent qu’il s’agit d’une tentative de vol de bitcoins.

« Notre conclusion, basée sur les activités précédentes, est que c’est l’objectif de l’attaque, en particulier à la lumière des récents rapports provenant d’autres sources selon lesquelles la Corée du Nord se concentre davantage sur le bitcoin et l’obtention de bitcoins », a déclaré à ZDNet Rafe Pilling, chercheur en sécurité chez Secureworks.

Un bitcoin vaut actuellement plus de 17 500 $, ce qui en fait une cible précieuse pour les pirates informatiques et les cybercriminels.

[adblockingdetector id= »5bbf1a00ae440″]

Une attaque utilisant des failles de Microsoft Word

Les chercheurs notent que la Corée du Nord s’intéresse activement à Bitcoin depuis au moins 2013, avec des noms d’utilisateur et des adresses IP en Corée du Nord régulièrement liés à la recherche sur ces devises, ainsi qu’à des campagnes criminelles et d’espionnage pour en acquérir.

La dernière série d’attaques vise les dirigeants financiers de sociétés de monnaies cryptographiques qui reçoivent des courriels censés contenir des renseignements sur un poste de directeur financier.

Le message contient une pièce jointe Microsoft Word qui, une fois ouverte, indique à l’utilisateur qu’il doit activer le mode édition (désactivé par défaut par Microsoft pour des raisons de sécurité) pour pouvoir voir le document. Si l’utilisateur exécute cette instruction, il permet à une macro malveillante cachée de procéder à l’intrusion.

Ce faux message est inscrit dans le document Word, et se fait passer pour une instruction de Microsoft

Cette macro crée un document de leurre distinct contenant une fausse offre de directeur financier dans une société européenne de bitcoin . Le document semble être basé sur le profil LinkedIn d’un véritable directeur financier dans une société spécialisée en Extrême-Orient. Les chercheurs notent que le Groupe Lazarus a déjà été connu pour copier et coller des descriptions de postes à partir de sites de recrutement dans le cadre de campagnes précédentes.

Pendant que la victime consulte ce document, un cheval de Troie Remote Access est installé en arrière-plan, offrant aux attaquants un accès complet à l’ordinateur du piégé, leur permettant de télécharger des programmes malveillants supplémentaires.

Les chercheurs affirment que les logiciels malveillants utilisés dans cette campagne particulière semble être une nouvelle forme de cheval de Troie, potentiellement conçu pour ces attaques.

Néanmoins, le malware semble partager certains éléments avec les attaques précédentes du Groupe Lazarus, comme le fait de s’appuyer sur des composants du protocole C2 pour communiquer avec les serveurs de commande et de contrôle. C’est ce qui a conduit SecureWorks à l’attribuer à Lazarus et à la Corée du Nord avec « une grande confiance ».

Afin de se prémunir contre ce type de campagne d’hameçonnage et de distribution de logiciels malveillants, Secureworks recommande que des formations sur l’ingénierie sociale soient dispensées, que les macros dans les documents Word soient désactivées et que l’authentification à deux facteurs soit mise en œuvre dans les systèmes clés.

[adblockingdetector id= »5bbf1a00ae440″]

D’après Zdnet