BlueNoroff — el infame grupo de hackers norcoreano responsable de una serie de ataques de phishing y ciberseguridad desde 2019 — está atacando a las empresas de criptomonedas con un nuevo malware que ataca computadoras MacOS.

Según un informe de SentinelLabs, la operación de malware apodada "Riesgo Oculto" se difunde a través de archivos PDF en múltiples etapas. Los actores de la amenaza utilizan titulares de noticias falsas e investigación de mercado de criptomonedas legítima para atraer a individuos y empresas desprevenidos.

Una vez que el usuario descarga el archivo PDF, se descarga y abre un PDF de señuelo aparentemente legítimo, mientras que el malware se descarga como un archivo separado en el escritorio de MacOS en segundo plano.

Este paquete de malware contiene una serie de funciones diseñadas para darle a los hackers una puerta trasera para acceder de forma remota a la computadora de una víctima y robar información sensible, incluyendo claves privadas para billeteras y plataformas de activos digitales.

Un mapa de la explotación de BlueNoroff. Fuente: SentinelLabs

El FBI emite una advertencia sobre hackers norcoreanos

La Oficina Federal de Investigación de los Estados Unidos (FBI) emitió varias advertencias sobre BlueNoroff, el grupo de hackers Lazarus en general y otros actores maliciosos con vínculos con el régimen norcoreano en los últimos años.

En abril de 2022, la agencia de aplicación de la ley y la Agencia de Seguridad Cibernética e Infraestructura (CISA) sonaron la alarma y aconsejaron a las empresas de criptomonedas tomar medidas de precaución para mitigar los riesgos que plantean los grupos de hackers sancionados por el estado.

Tras la advertencia, BlueNoroff inició otra campaña de phishing en diciembre de 2022 dirigida a empresas y bancos. Los actores de la amenaza crearon más de 70 nombres de dominio fraudulentos diseñados para disfrazar a los hackers como firmas de capital de riesgo legítimas para obtener acceso a las computadoras de la víctima objetivo y robar fondos.

Más recientemente, en septiembre de 2024, el FBI reveló que el Grupo Lazarus estaba utilizando nuevamente esquemas de ingeniería social para robar criptomonedas. El FBI explicó que los hackers apuntaron a empleados en intercambios centralizados y firmas de finanzas descentralizadas con ofertas de trabajo fraudulentas.

El objetivo de la operación de phishing era construir relaciones con las víctimas objetivo y fomentar la confianza. Una vez que se estableció suficiente confianza, se dirigió a las víctimas a hacer clic en un enlace malicioso que se hacía pasar por pruebas y solicitudes de empleo, lo que comprometió sus sistemas y drenó cualquier billetera de escritorio de fondos.

Revista: India considera una nueva prohibición de criptomonedas para apoyar el CBDC, el Grupo Lazarus ataca nuevamente: Asia Express