ترتبط مجموعة القرصنة الكورية الشمالية لازاروس Lazarus بهجوم جديد، يقوم بنشر تطبيقات العملة المشفرة تحت اسم العلامة التجارية المزيفة بلوكس هولدر BloxHolder، لتثبيت برنامج آبل جوس AppleJeus الضار، والوصول الأولي إلى الشبكات وسرقة أصول التشفير.

العملات الرقمية: بين سحر الأرباح وخُطر الاحتيال

مشروع العملة الرقمية القطرية : خطوة استراتيجية نحو تعزيز كفاءة القطاع المالي

‏ Mal.io تطلق المرحلة الثانية من برنامج Airdrop

المغرب يتجه نحو تبني "الدرهم الإلكتروني لتعزيز التحول الرقمي المالي

‏منصة Mal.io العربية تطلق عملتها الرقمية "Mal" وتعلن عن عملية Airdrop سخية

هبوط مفاجئ في ثقة المستهلك الأمريكي يهزّ الأسواق

"Web3: مستقبل واعد للشباب العرب وفرص لا حصر لها"

‏Mal.io تُرسّخ مفهوم التداول الآمن والمُجزٍ للعملات الرقمية عبر الـ "Spot"

حيث أظهر تقرير مشترك من مكتب التحقيقات الفيدرالي FBI في فبراير/شباط 2021، أنه تم استخدام آبل جوس AppleJeus منذ عام 2018 على الأقل، من قبل مجموعة لازاروس Lazarus في عمليات سرقة العملات المشفرة والأصول الرقمية.

كما أوضح تقرير جديد صادر عن موقع فوليكسيتي Volexity، وجود برامج تشفير جديدة ومزيفة ونشاط آبل جوس، مع تطور في سلسلة الإصابة بالبرامج الضارة وقدراتها.

حملة بلوكس هولدر BloxHolder الجديدة

بدأت الحملة الجديدة المنسوبة إلى لازاروس، في يونيو/حزيران 2022، واستمرت حتى أكتوبر/تشرين الأول 2022 على الأقل.

حيث استخدم المخترقون في هذه الحملة، مجال “bloxholder [.] com”، وهو استنساخ لمنصة التداول الآلي للعملات المشفرة هاس أونلاين HaasOnline.

وقام موقع الويب هذا، بتوزيع برنامج ويندوز إم إس آي Windows MSI بحجم 12.7 ميجابايت، على أنه تطبيق بلوكس هولدر. إضافة إلى برنامج آبل جوس الضار، المرفق مع تطبيق كيو بيتكوين تريدر QTBitcoinTrader.

الجدير بالذكر، أن مجموعة القرصنة كانت قد طورت حملتها في أكتوبر/تشرين الأول 2022، لاستخدام مستندات مايكروسوفت أوفيس Microsoft Office، بدلاً من برنامج MSI لتوزيع البرامج الضارة.

وتم تسمية المستند باسم أوكيكس بايننس آند هوبي في آي بي في كومباريزون “OKX Binance & Huobi VIP fee Comparision.xls”، وبحجم 214 كيلوبايت، الذي يحتوي على ملف ماكرو، يقوم بإنشاء ثلاثة ملفات على كمبيوتر الهدف.

وعند التثبيت، سيقوم آبل جوس بإنشاء مهمة مجدولة، وإفلات ملفات إضافية في المجلد: “٪ APPDATA٪ Roaming Bloxholder ”.

وبعد ذلك، ستقوم البرامج الضارة بجمع عنوان ماك MAC واسم الكمبيوتر وإصدار نظام التشغيل وإرسالها، ومن المرجح أن تحدد ما إذا كانت تعمل على جهاز افتراضي أو وضع الحماية.

من هي مجموعة لازاروس

هي مجموعة قرصنة كورية شمالية نشطة منذ عام 2009 على الأقل، اكتسبت سمعة سيئة بعد اختراق سوني فيلمز Sony Films ضمن عملية بلوك باستر Blockbuster، وحملة وانا كراي رانسوم وير WannaCry ransomware العالمية في 2017.

وقد اكتشفت جوجل Google في يناير/كانون الثاني 2021، أن المجموعة كانت تنشئ شخصيات مزيفة عبر الإنترنت، لاستهداف الباحثين الأمنيين، إضافة إلى اكتشاف هجوم ثان باستخدام هذا التكتيك في مارس/آذار 2021.

كما قامت الحكومة الأمريكية في أبريل/نيسان الفائت، بربط مجموعة لازاروس بهجوم إلكتروني على آكسي إنفينيتي Axie Infinity، والذي سمح لهم بسرقة ما يزيد عن 617 مليون دولار من عملات إيثيريوم Ethereum وUSDC.

يمكنك مشاركة العمل على