El grupo de Corea del Norte denominado «Lazarus» está asociado a una nueva aplicación de criptomonedas, que tiene como objetivo instalar el malware AppleJeus para proporcionar acceso a la red y robar activos criptográficos.
En dicha campaña se utilizaba el dominio «bloxholder[.]com» clonando el contenido de HaasOnline, una plataforma de comercio de criptomonedas actualizada.
En este lugar, se distribuía un instalador de MSI de Windows de 12,7MB pretendiendo ser la app de BloxHolder. Cuando en realidad, resultó ser el malware AppleJeus junto a otra aplicación, QTBitcoinTrader.
Nombre del archivoBloxHolder_v1.2.5.msiTamaño13305856 bytesMD5245bb604621cea7962668325995bca7cSHA1cc5544eff3e5b9cf20d8cf2291147596d4346dbeSHA256eee4e3612af96b694e28e3794c4ee4af2579768e8ec6b21daf71acfc6e22d52bDetalles del archivo MSI distribuido
Posteriormente el grupo evolucionó su campaña para usar documentos de MICROSOFT OFFICE en lugar de el instalador para distribuir el malware.
Dicho documento de 214KB con nombre «OKX Binance & Huobi VIP fee comparision.xls» contenían una macro que creaba 3 archivos en el dispositivo de la víctima.
Tras la instalación a través de la cadena de infección de MSI, AppleJeus crea una tarea programada y coloca archivos adicionales en la carpeta «%APPDATA%RoamingBloxholder«.
A continuación recopila la MAC, nombre del equipo, versión del sistema operativo y posteriormente envia todos los datos al C2 (servidor command & control) a través de una petición HTTP de tipo POST. Dicha solicitud tendría como objetivo comprobar si se está ejecutando en una máquina virtual o en algún otro tipo de entorno asilado.
«Específicamente, CameraSettingsUIHost.exe carga el archivo dui70.dll del directorio System32, lo que provoca la carga del archivo malicioso DUser.dll del directorio de la aplicación en el proceso CameraSettingsUIHost.exe. «
Explicó Volexity
Sin embargo, dicha carga del malware es capaz de evadir la detección de Antivirus debido a que, el archivo dui70.dll, es el Motor DirectUI de Windows y normalmente se instala como parte del sistema operativo.
Conventional DLL side-loading (Volexity)
Actualmente la razón por la que Lazarus optó por la carga lateral de DLL encadenada no está clara, pero podría ser para impedir el análisis de malware.
Otra característica nueva en las muestras recientes de AppleJeus es que todas sus cadenas y llamadas API ahora están ofuscadas mediante un algoritmo personalizado, lo que las hace más sigilosas frente a los productos de seguridad.
Mas información:
https://malpedia.caad.fkie.fraunhofer.de/details/osx.applejeus
La entrada BloxHolder, una aplicación criptográfica falsa para robar criptomonedas se publicó primero en Una al Día.
