Tin tặc Bắc Triều Tiên nhắm vào các công ty tiền điện tử bằng chiến dịch phần mềm độc hại mới

Theo Decrypt, tin tặc được nhà nước Triều Tiên tài trợ đã phát động một chiến dịch mới có tên là 'Hidden Risk', nhằm xâm nhập vào các công ty tiền điện tử bằng phần mềm độc hại được ngụy trang thành các tài liệu hợp pháp. Một báo cáo của SentinelLabs liên kết chiến dịch này với BlueNoroff threat actor, một nhóm nhỏ của Lazarus Group khét tiếng, được biết đến với việc tài trợ cho các chương trình vũ khí và hạt nhân của Triều Tiên thông qua hành vi trộm cắp mạng. Chuỗi tấn công này là một động thái chiến lược nhằm khai thác ngành công nghiệp tiền điện tử đang phát triển nhanh chóng trị giá 2,6 nghìn tỷ đô la, thường hoạt động trong môi trường phi tập trung và thiếu sự quản lý.

FBI gần đây đã cảnh báo về các tác nhân mạng Triều Tiên ngày càng nhắm mục tiêu vào các nhân viên của các công ty tài chính phi tập trung (DeFi) và quỹ giao dịch trao đổi (ETF) thông qua các chiến thuật kỹ thuật xã hội tinh vi. Chiến dịch mới nhất có vẻ là phần mở rộng của những nỗ lực này, tập trung vào việc xâm phạm các sàn giao dịch tiền điện tử và nền tảng tài chính. Không giống như các phương pháp trước đây của chúng là dụ dỗ nạn nhân trên mạng xã hội, tin tặc hiện đang sử dụng email lừa đảo được ngụy trang dưới dạng cảnh báo tin tức về tiền điện tử, bắt đầu xuất hiện vào tháng 7. Những email này, ngụy trang dưới dạng cập nhật về giá Bitcoin hoặc các xu hướng mới nhất trong DeFi, lừa nạn nhân nhấp vào các liên kết dường như dẫn đến các tài liệu PDF hợp pháp. Tuy nhiên, thay vì mở một tệp vô hại, người dùng vô tình tải xuống một ứng dụng độc hại vào máy Mac của họ.

Báo cáo nhấn mạnh khả năng vượt qua các biện pháp bảo vệ an ninh tích hợp của Apple của phần mềm độc hại mới, khiến nó trở nên đặc biệt đáng lo ngại. Những kẻ tấn công đã có thể ký phần mềm của chúng bằng ID nhà phát triển Apple hợp lệ, cho phép nó trốn tránh hệ thống Gatekeeper của macOS. Sau khi cài đặt, phần mềm độc hại sử dụng các tệp hệ thống ẩn để không bị phát hiện, ngay cả sau khi máy tính được khởi động lại và nó giao tiếp với các máy chủ từ xa do tin tặc kiểm soát. SentinelLabs khuyên người dùng macOS, đặc biệt là những người trong các tổ chức, nên tăng cường các biện pháp bảo mật và nâng cao nhận thức của họ về các rủi ro tiềm ẩn.