Lazarus, le gang de pirates financé par le gouvernement de la Corée du Nord, continue d’affiner ses tactiques pour dépouiller les géants de la cryptomonnaie. D’après les découvertes des chercheurs de Sekoia, le gang a désormais adopté une technique intitulée ClickFix. Cette stratégie, massivement exploitée par les hackers de tous les bords, repose sur la manipulation des utilisateurs. Les cybercriminels doivent amener les cibles à exécuter elles-mêmes des actions dangereuses, ce qui leur permet d’échapper aux systèmes de sécurité.
Dans le cas des attaques menées par Lazarus, des demandeurs d’emploi du monde de la crypto vont recevoir un message, contenant un document ou un lien vers un site web. Ceux-ci vont afficher un faux avertissement indiquant qu’un problème de visualisation a été rencontré. Pour corriger le bug, l’utilisateur est invité à cliquer sur l’alerte et à suivre les instructions fournies, ce qui va aboutir à l’installation de virus. Ces malwares vont alors s’emparer des cryptomonnaies des cibles. Les bitcoins dérobés viendront ensuite gonfler les caisses du gouvernement nord-coréen. Depuis 2017, la Corée du Nord se sert de Lazarus pour engranger des fortunes.
À lire aussi : Comment les hackers de Lazarus ont réussi le plus gros casse de la crypto
Lazarus usurpe l’identité de plateformes crypto
Pour piéger les cibles, Lazarus usurpe l’identité d’acteurs majeurs de l’industrie crypto, dont Coinbase, KuCoin, Kraken, Circle, Securitize, BlockFi, Tether, Robinhood et Bybit. En se faisant passer pour ces entreprises, les pirates de Lazarus proposent de faux entretiens aux personnes en quête d’un emploi dans le monde de la cryptomonnaie.
« Notre analyse est basée sur 184 invitations différentes récupérées à partir de faux sites Web d’interview. Parmi ces invitations, nous avons trouvé 14 noms d’entreprise utilisés pour inciter la victime à terminer le processus de demande », explique Sekoia dans son rapport.
Pour entrer en contact avec les chercheurs d’emploi, Lazarus passe par des courriels ou des réseaux sociaux, comme X ou Linkedin. Ensuite, ils mettent en avant des projets de logiciels ou des tests d’outils en développement afin de convaincre la victime de télécharger et d’installer le virus. C’est là que la fausse alerte intervient et finalise le processus de piratage. Évidemment, Lazarus calibre les documents envoyés en fonction de la cible et de ses compétences.
🚨 Heads up all—some dudes have a slick, new way of dropping some nasty malware.
Feels infostealer-y on the surface but…its not.🫠
It'll really, deeply rekt you.
Pls share this w/ your friends, devs, and multisig signers. Everyone needs to be careful + stay skeptical. 🙏 pic.twitter.com/KRRWGL3GDo
— Tay 💖 (@tayvano_) December 28, 2024
C’est pourquoi les développeurs vont recevoir des tests de logiciels, contre de simples invitations à des entretiens en ligne pour des profils plus orientés marketing. Au cours de l’échange, le pirate « exprime son intérêt pour un participant potentiel et lui suggère de visiter un site Web tiers pour s’engager dans un bref entretien à distance afin de recueillir des informations supplémentaires à son sujet ».
À lire aussi : Hack record de cryptos – la plateforme Bybit a perdu 1,46 milliard de dollars, que s’est-il passé ?
Une attaque en cours depuis deux ans
Quand la victime essaie d’enregistrer une vidéo avec sa webcam, un faux message d’erreur s’affiche. Celui-ci prétend qu’un problème de pilote (driver) bloque la caméra et donne des instructions pour corriger le tir. Le nouveau pilote contient en fait la charge malveillante. Pour arriver à ses fins, l’offensive repose sur un malware intitulé GolangGhost. Compatible avec Windows et macOS, il est capable de prendre le contrôle d’un ordinateur à distance, d’espionner les activités de l’utilisateur, ou encore d’installer d’autres outils malveillants. La campagne est active depuis deux ans, mais le nombre de tentatives de compromission est toujours élevé au premier trimestre 2025, avec l’apparition de la nouvelle tactique ClickFix.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Sekoia
