Эксперт Финанс
Обучение криптовалютам, инвестициям и финансовой грамотности. Разбираем Bitcoin, биржи, безопасность, риски и стратегии для частных инвесторов
Написать в телеграм
Северокорейские хакеры запустили новый вирус для атак на криптопроекты
Хакеры Lazarus начали использовать новый вредоносный инструмент для атак на криптопроекты. Речь идет о трояне RemotePE.
По данным нидерландской компании Fox-IT, вирус нацелен на криптопроекты, биржи и финтех-стартапы. Специалисты называют его «невидимым трояном». Главная опасность в том, что он работает в оперативной памяти устройства.
Атака начинается с социальной инженерии
Схема обычно начинается с общения в Telegram. Представители Lazarus связываются с потенциальными жертвами и выдают себя за сотрудников трейдинговых компаний.
Затем они предлагают организовать деловую встречу. Для этого отправляют ссылки на поддельные страницы сервисов Calendly и Picktime.
После подтверждения встречи запускается цепочка заражения устройства. Пользователь может даже не понять, что сам открыл дверь для атаки.
Как работает троян RemotePE
Атака проходит в несколько этапов. Сначала на устройство загружается программа DPAPILoader.
Она использует встроенные механизмы Windows для расшифровки вредоносного кода. Затем запускается второй компонент — RemotePELoader.
После этого программа соединяется с управляющим сервером. Основной троян загружается прямо в оперативную память компьютера.
Почему вирус сложно обнаружить
RemotePE не сохраняет файлы на жестком диске. Он работает только в оперативной памяти.
Из-за этого троян сложнее найти обычными антивирусами. Аналитикам по кибербезопасности тоже труднее расследовать такие атаки.
По оценке Fox-IT, такой подход помогает обходить многие средства защиты. Поэтому хакеры Lazarus могут дольше оставаться незаметными внутри системы.
Цель атаки — длительный доступ к инфраструктуре
Специалисты считают, что RemotePE создан не для разовых атак. Его задача — скрыто находиться в инфраструктуре жертвы как можно дольше.
После заражения хакеры могут собирать данные о системе. Также они могут отслеживать действия пользователей.
Такая подготовка нужна для дальнейшей кражи криптовалюты. Для криптокомпаний это особенно опасный сценарий.
Lazarus остается одной из главных угроз крипторынка
Lazarus давно считается одной из самых активных хакерских группировок в криптоиндустрии. По данным TRM Labs, за девять лет северокорейские хакеры украли криптовалюту на сумму более $6 млрд.
Новая атака показывает, что методы группировки становятся сложнее. Теперь ставка делается не только на взлом, но и на доверие.
Для криптопроектов это означает рост требований к цифровой гигиене. Особенно важно проверять ссылки, встречи, файлы и личности собеседников.
Что это значит для инвестора?
Эта новость важна, потому что хакеры Lazarus снова показывают: риски крипторынка связаны не только с ценой BTC или ETH, но и с безопасностью инфраструктуры. Влияние на рынок скорее нейтрально-негативное, так как такие атаки усиливают репутационные и операционные риски для криптопроектов. Это касается BTC, ETH, альткоинов, бирж, DeFi, финтеха и всего крипторынка. Инвестору стоит следить за кибератаками на биржи, безопасностью кошельков, подозрительными ссылками и реакцией компаний на инциденты; для Expert Finance главный вывод простой: в крипте опасен не только плохой вход в сделку, но и слишком доверчивый клик по «деловой встрече».
