BlueNoroff — nechvalně známá severokorejská hackerská skupina odpovědná za řadu phishingových a kybernetických útoků od roku 2019 — cílí na kryptofirmy s novým malwarem, který útočí na počítače s MacOS.

Podle zprávy od SentinelLabs se operace malwaru s názvem "Skrytá rizika" šíří prostřednictvím PDF souborů ve více fázích. Hrozby používají falešné titulky zpráv a legitimní výzkum trhu s kryptoměnami, aby nalákaly nevědomé jednotlivce a společnosti.

Jakmile uživatel stáhne PDF soubor, je stažen a otevřen zdánlivě legitimní návnada PDF, zatímco malware se stahuje jako samostatný soubor na ploše MacOS na pozadí.

Tento balíček malwaru obsahuje řadu funkcí navržených tak, aby hackerům poskytl zadní vrátka pro vzdálený přístup k počítači oběti a krádež citlivých informací, včetně soukromých klíčů pro digitální aktiva a platformy.

Mapa exploitace BlueNoroff. Zdroj: SentinelLabs

FBI vydává varování o severokorejských hackerech

Federální úřad pro vyšetřování Spojených států (FBI) v uplynulých několika letech vydal několik varování o BlueNoroff, širší hackerské skupině Lazarus a dalších zlovolných aktérech s vazbami na severokorejský režim.

V dubnu 2022, orgány činné v trestním řízení a Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) spustily poplach a doporučily kryptofirmám, aby přijaly preventivní opatření k mitigaci rizik, která představují státem podporované hackerské skupiny.

Po varování zahájil BlueNoroff v prosinci 2022 další phishingovou kampaň zaměřenou na společnosti a banky. Hrozby vytvořily více než 70 podvodných domén, které měly zamaskovat hackery jako legitimní rizikové kapitálové firmy, aby získaly přístup k počítačům cílových obětí a ukradly prostředky.

Nedávno, v září 2024, FBI odhalila, že skupina Lazarus opět používá schémata sociálního inženýrství k krádeži kryptoměn. FBI vysvětlila, že hackeři cíleně útočili na zaměstnance na centralizovaných burzách a firmách decentralizovaných financí s podvodnými nabídkami práce.

Cílem phishingové operace bylo vybudovat vztahy s cílovými oběťmi a posílit důvěru. Jakmile byla dostatečná důvěra navázána, oběti byly nasměrovány k tomu, aby klikly na škodlivý odkaz, který se tvářil jako testy a žádosti o zaměstnání, což ohrozilo jejich systémy a vyprázdnilo jakékoli desktopové peněženky o prostředky.

Časopis: Indie zvažuje nový zákaz kryptoměn na podporu CBDC, skupina Lazarus útočí znovu: Asia Express