BlueNoroff, печально известная северокорейская хакерская группа, стоящая за серией фишинговых и кибератак с 2019 года, теперь атакует криптовалютные компании новым вредоносным ПО, разработанным специально для проникновения в macOS от Apple.
Согласно отчету SentinelLabs, вредоносная программа под названием «Скрытый риск» распространяется через файлы PDF в несколько этапов. Злоумышленники используют фейковые заголовки новостей и законные исследования рынка криптовалют, чтобы заманить ничего не подозревающих людей и компании.
После того, как пользователь загружает файл PDF, загружается и открывается, казалось бы, законный поддельный PDF-файл, в то время как вредоносное ПО загружается как отдельный файл на рабочий стол macOS в фоновом режиме.
Этот вредоносный пакет содержит ряд функций, предназначенных для предоставления хакерам бэкдора для удаленного доступа к компьютеру жертвы с целью кражи конфиденциальной информации, включая закрытые ключи для кошельков и платформ цифровых активов.
Схема эксплоита BlueNoroff. Источник: SentinelLabs
ФБР выпускает предупреждение о северокорейских хакерах
Федеральное бюро расследований США (ФБР) за последние несколько лет выпустило несколько предупреждений о BlueNoroff, более широкой хакерской группе Lazarus и других злоумышленниках, связанных с северокорейским режимом.
В апреле 2022 года правоохранительные органы и Агентство кибербезопасности и безопасности инфраструктуры (CISA) забили тревогу и рекомендовали криптофирмам принять меры предосторожности для снижения рисков, связанных с санкционированными государством хакерскими группами.
После предупреждения BlueNoroff инициировала еще одну фишинговую кампанию в декабре 2022 года, нацеленную на компании и банки. Злоумышленники создали более 70 мошеннических доменных имен, призванных замаскировать хакеров под законные венчурные компании, чтобы получить доступ к компьютерам целевой жертвы и украсть средства.
Совсем недавно, в сентябре 2024 года, ФБР раскрыло, что Lazarus Group снова использовала схемы социальной инженерии для кражи криптовалюты. ФБР объяснило, что хакеры атакуют сотрудников централизованных бирж и децентрализованных финансовых компаний с мошенническими предложениями о работе.
Целью фишинговой операции было наладить отношения с целевыми жертвами и укрепить доверие. После того, как было установлено достаточное доверие, жертвам предлагалось нажать на вредоносную ссылку, выдававшую себя за тесты и приложения для трудоустройства, что компрометировало их системы и опустошало все кошельки настольных компьютеров.