Lazarus团伙使用伪造的加密货币应用分发AppleJeus

据外媒报道，近日，Volexity观察到朝鲜黑客团伙Lazarus新一轮的攻击活动。该活动始于2022年6月，并至少持续到2022年10月。攻击者注册了域名bloxholder[.]com并建立了一个网站，该网站是合法的HaasOnline自动加密货币交易平台的克隆。攻击者使用该网站分发伪装成BloxHolder应用的Windows MSI安装程序，它实际上是与QTBitcoinTrader应用捆绑在一起的恶意软件AppleJeus。该活动还通过链式DLL侧加载，以从受信任的进程中加载恶意软件，从而绕过安全检测。