Ataki malware’u z Korei Północnej na użytkowników Maca w branży kryptowalut

Nowe raport firmy zajmującej się cyberbezpieczeństwem, SentinelOne, zwraca uwagę na falę zaawansowanych ataków złośliwego oprogramowania skierowanych na firmy kryptowalutowe, szczególnie te korzystające z urządzeń z systemem macOS.

Ataki, które przypisuje się północnokoreańskim hakerom związanych z grupą „BlueNoroff”, wykorzystują e-maile phishingowe i zwodnicze linki do infiltracji systemów korporacyjnych i kradzieży środków.

Dowody techniczne powiązały kampanię z BlueNoroff, podgrupą niedawno zidentyfikowaną przez amerykańskie Ministerstwo Skarbu jako część Grupy Lazarus, najbardziej notorycznej grupy hakerów wspieranej przez rząd Korei Północnej, jak zauważył The Record.

Kampania BlueNoroff, znana jako „Ukryte Ryzyko”, najwyraźniej rozpoczęła się w kwietniu 2023 roku i używa fałszywych aktualizacji wiadomości o kryptowalutach, aby zwabić ofiary.

Złośliwe aplikacje, które podszywają się pod dokumenty PDF, nakłaniają użytkowników do pobierania złośliwego oprogramowania. Te phishingowe e-maile często wydają się pochodzić od renomowanych źródeł z branży kryptowalut, zawierając linki do „raportów”, które zamiast tego instalują aplikację z malware.

Tytuły takie jak „Ukryte ryzyko za nową falą wzrostu ceny Bitcoina” są tak skonstruowane, aby wyglądać wiarygodnie, wprowadzając w błąd użytkowników i skłaniając ich do otwarcia plików.

Raport SentinelOne zwraca uwagę na innowacyjną taktykę w ramach kampanii: wykorzystanie pliku „zshenv”, ukrytego pliku systemu macOS, do utrzymania ciągłej obecności malware. Ta metoda pozwala szkodliwemu oprogramowaniu uniknąć wykrycia, nie wywołując typowych alertów bezpieczeństwa macOS.

Po zagnieżdżeniu, malware instaluje tylną furtkę, umożliwiając atakującym zdalne kontrolowanie zainfekowanych urządzeń, wykonywanie poleceń i zbieranie danych.

Ta kampania jest zgodna z długotrwałym zainteresowaniem Korei Północnej kryptowalutami jako źródłem finansowania. We wrześniu 2024 roku FBI wydało ostrzeżenia dotyczące hakerów z Korei Północnej, którzy atakują platformy finansowania zdecentralizowanego (DeFi) i firmy krypto za pomocą phishingu.

„Ukryte Ryzyko” kampania podkreśla ewoluujące techniki grupy, szczególnie w zakresie wykorzystania podatności systemu macOS.

Wnioski firmy SentinelOne podkreślają znaczenie ostrożności w branży kryptowalut. Eksperci ds. bezpieczeństwa zalecają firmom zwiększenie swoich protokołów bezpieczeństwa, edukowanie pracowników na temat zagrożeń związanych z phishingiem oraz zachowanie ostrożności podczas obsługi nieoczekiwanych e-maili czy aplikacji.