Північнокорейський хакер BlueNoroff атакує криптовалютні фірми новим шкідливим програмним забезпеченням

BlueNoroff — сумно відома північнокорейська хакерська група, відповідальна за серію фішингових і кібер-атак з 2019 року — націлена на криптовалютні фірми за допомогою нового шкідливого програмного забезпечення, яке атакує комп’ютери MacOS.

Згідно зі звітом SentinelLabs, операція зловмисного програмного забезпечення під назвою «Прихований ризик» поширюється через файли PDF у кілька етапів. Зловмисники використовують фейкові заголовки новин і законні дослідження ринку криптовалют, щоб заманити нічого не підозрюючих осіб і компанії.

Коли користувач завантажує PDF-файл, завантажується та відкривається, здавалося б, легітимний PDF-приманка, а зловмисне програмне забезпечення завантажується як окремий файл на робочому столі MacOS у фоновому режимі.

Цей пакет зловмисного програмного забезпечення містить низку функцій, розроблених, щоб надати хакерам бекдор для віддаленого доступу до комп’ютера жертви для викрадення конфіденційної інформації, включаючи приватні ключі для гаманців цифрових активів і платформ.

За темою: Lazarus Group використала вразливість Chrome у підробленій грі NFT

ФБР попередило про північнокорейських хакерів

Федеральне бюро розслідувань Сполучених Штатів (ФБР) протягом останніх кількох років видало кілька попереджень щодо BlueNoroff, ширшої хакерської групи Lazarus, та інших зловмисників, пов’язаних із північнокорейським режимом.

У квітні 2022 року правоохоронне відомство та Агентство з кібербезпеки та безпеки інфраструктури (CISA) забили на сполох і порадили криптовалютним компаніям вжити запобіжних заходів, щоб зменшити ризики, створені санкціонованими державою хакерськими групами.

Після попередження BlueNoroff ініціював ще одну фішингову кампанію в грудні 2022 року, націлену на компанії та банки. Зловмисники створили понад 70 шахрайських доменних імен, призначених для того, щоб замаскувати хакерів під законні фірми венчурного капіталу, щоб отримати доступ до комп’ютерів цільових жертв і викрасти кошти.

Нещодавно, у вересні 2024 року, ФБР виявило, що Lazarus Group знову використовувала схеми соціальної інженерії для викрадення криптовалюти. У ФБР пояснили, що хакери націлилися на співробітників централізованих бірж і децентралізованих фінансових фірм із шахрайськими пропозиціями про роботу.

Метою фішингової операції було побудувати стосунки з цільовими жертвами та зміцнити довіру. Після того, як було встановлено достатню довіру, жертвам було запропоновано натиснути зловмисне посилання, яке представляло собою тести на працевлаштування та програми, що скомпрометувало їхні системи та виснажило кошти з будь-яких гаманців комп’ютерів.