{"id":16189,"date":"2018-08-27T13:55:17","date_gmt":"2018-08-27T11:55:17","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16189"},"modified":"2018-08-28T13:55:56","modified_gmt":"2018-08-28T11:55:56","slug":"lazarus-crypto-exchange-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/lazarus-crypto-exchange-attack\/16189\/","title":{"rendered":"Hackeraggio con accento nordcoreano di un servizio di cambio di criptomonete"},"content":{"rendered":"

Le tecniche di attacco usate dai cybercriminali esperti spesso sono cos\u00ec sofisticate che persino i professionisti della sicurezza hanno difficolt\u00e0 a smascherarle. Un po\u2019 di tempo fa, i nostri esperti hanno scoperto una nuova campagna ad opera del gruppo nordcoreano Lazarus<\/a>, noto per i suoi attacchi alla Sony Pictures<\/a> e a diverse istituzioni finanziarie (ricordiamo il furto da 81 milioni di dollari ai danni della Banca Centrale della Repubblica Popolare del Bangladesh<\/a>).<\/p>\n\n

\"\"<\/a><\/p>\n

In questo caso in particolare, i cybercriminali hanno deciso di riempirsi le tasche di criptomonete<\/a>. Per arrivare ai portafogli delle vittime, hanno fatto in modo che un malware si insidiasse nelle reti aziendali di alcuni sistemi di cambio di criptomonete. I cybercriminali si sono affidati al fattore umano e hanno ricevuto la loro ricompensa.<\/p>\n

Applicazione di trading dall\u2019aggiornamento dannoso<\/h3>\n

Per penetrare nella rete, i cybercriminali hanno fatto la loro prima mossa con un\u2019e-mail. Almeno uno dei dipendenti del servizio di cambio di criptomonete riceve un\u2019e-mail in cui si invita a installare un\u2019app di trading chiamata Celas Trade Pro di Celas Limited; un programma che, considerando il profilo dell\u2019azienda, potrebbe interessare al dipendente.<\/p>\n

Il messaggio comprende un link al sito ufficiale dello sviluppatore: tutto sembra in ordine, il sito ha persino un certificato SSL<\/a> emesso da Comodo CA, centro piuttosto rinomato.<\/p>\n

\"\"<\/strong><\/p>\n

Celas Trade Pro \u00e8 disponibile per il download in due versioni, una per Windows e una per Mac e in cantiere c\u2019\u00e8 anche una versione per Linux.<\/p>\n

\"\"<\/p>\n

L\u2019app di trading dispone anche di un certificato digitale<\/a> valido (un\u2019altra caratteristica che rafforza la sua autorevolezza) e nel codice non sono presenti componenti dannosi.<\/p>\n

Una volta installata con successo sul computer del dipendente, Celias Trade Pro avvia un aggiornamento. Per fare ci\u00f2 deve contattare il server della casa produttrice, e fin qui niente di sospetto. Tuttavia, invece di un aggiornamento, il dispositivo installa un Trojan backdoor<\/a>.<\/p>\n

\"\"<\/p>\n

Fallchill, un malware davvero pericoloso<\/h3>\n

La backdoor \u00e8 un'\u201dentrata di servizio\u201d virtuale che i cybercriminali sfruttano per penetrare in un sistema. La maggior parte degli attacchi perpetrati a servizi di cambio si sono serviti di Fallchill e, tra gli altri segnali, la sua presenza costituisce una prova evidente che porta ai diretti responsabili: il gruppo Lazarus, infatti, ha utilizzato varie volte questa backdoor in passato che consente di ottenere il controllo quasi totale del dispositivo infetto. Ecco altre importanti caratteristiche:<\/p>\n