Северокорейские хакеры вернулись с новой крипто -аферой. Он поставляется в виде этого веб-сайта “BloxHolder” - “Самого продвинутого в мире автоматизированные криптоторговые боты”, никаких ссылок на это, но в любом случае - веб-сайт действительно выглядит довольно хорошо оформленным, однако, если вы немного его просмотрите, вы заметите, что что-то просто не так, Я имею в виду - на странице с ценами вы заметите, что нет возможности что-либо купить, и вы не найдете никакой контактной информации для людей, предположительно управляющих компанией. Что-то кажется не так. Маска исчезает, если вы просто загуглите какой-нибудь произвольный текст на сайте, потому что вы найдете очень похожий веб-сайт “haasonline”.
Это в значительной степени точная копия, похоже, что северокорейцы просто нажали ctrl + s на этом сайте и изменили все ссылки с hassonline на bloxholder,
а также заменили свой логотип на то, что, вероятно, является наиболее общим выглядящий криптографический логотип, который они могли бы придумать. Цель веб-сайта bloxholder - служить предлогом для распространения поддельного программного обеспечения для криптоторговли. Установочный файл содержит копию законного приложения для криптоторговли с открытым исходным кодом QtBitcoinTrader, но оно поставляется с дополнительной недокументированной функцией AppleJeus - это любимое вредоносное ПО Северной Кореи - и это не из-за вашего токена Discord, на самом деле эта вредоносная программа вами вообще не интересуется. Поскольку этот веб-сайт не будет рекламироваться какой-то большой аудитории, а скорее небольшой группе людей, отобранных вручную, которые могут послужить отправной точкой для кражи крупных сумм криптовалюты, обычно это будут инженеры криптобирж.
Например, в 2019 году правительство Северной Кореи хакеры, действующие под эгидой Lazarus group, запустили почти идентичную операцию, аналогичную этой последней. Веб-сайт, предположительно предлагающий криптоторговых ботов, разместил ссылку для скачивания копии QT Биткоин-трейдер, зараженный вредоносным ПО, на которое попался сотрудник криптобиржи “dragonex” . Lazarus украл криптовалюту на сумму 7 миллионов долларов из их горячих кошельков, и несколько месяцев спустя биржа прекратила свою деятельность.
И 7 миллионов долларов на самом деле являются относительно небольшой суммой для Северной Кореи, я имею в виду, что за первые 9 месяцев этого года, по оценкам , “группы, связанные с Северной Кореей, украли около 1 миллиарда долларов криптовалюты”, единственный способ сделать это - пойти за небольшим количество высокоценных целей. Но что что происходит с украденными монетами? Считается, что они направляются в программу ядерного оружия Кима. И, кстати, веб-сайт bloxholder все еще работает на момент создания этого видео, но, похоже, что поддельная вредоносная программа для криптоторговли была оперативно удалена северокорейцами после того, как исследование Volexity выявило эту кампанию. При этом известно, что Lazarus использует браузер zero days, поэтому заходите на сайт на свой страх и риск.