Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Северокорейские хакеры запустили атаку «Hidden Risk» по рассылке криптовалютным компаниям документы со скрытыми вредоносами

12/11/24

korean hackers8-3

Северокорейские хакеры запустили новую атаку под названием «Hidden Risk», в ходе которой взламывают криптовалютные компании с помощью вредоносных программ, замаскированных под обычные документы. По данным SentinelLabs, за атакой стоит группа BlueNoroff — подгруппа известной группировки Lazarus, передаёт Securitylab.

Цель хакеров — извлечь деньги из быстро развивающейся криптоиндустрии, объем которой уже достиг $2,6 трлн. Хакеры пользуются уязвимостями и недостатком регулирования в данной сфере. Недавно ФБР предупредило, что северокорейские киберпреступники стали чаще атаковать сотрудников компаний, работающих с децентрализованными финансами (DeFi) и биржевыми фондами (ETF), используя методы социальной инженерии.

Новая атака продолжает эти усилия, но теперь злоумышленники сосредоточились на взломе криптобирж и финансовых платформ. Вместо того чтобы выстраивать долгие отношения с жертвами через соцсети, хакеры перешли к фишинговым письмам. Письма выглядят как новости о курсе Bitcoin или обновления в сфере DeFi и убеждают пользователей скачать поддельные PDF-документы.

Атака начинается с запуска поддельного приложения, которое выглядит как PDF-файл, но на самом деле содержит вредоносный код. Приложение было подписано с использованием реальной учётной записи разработчика Apple, что позволило обойти защиту macOS. Однако позже Apple отозвала эту подпись. После установки вредоносная программа скачивает поддельный PDF и сохраняет его на компьютере, чтобы отвлечь внимание пользователя, а затем начинает загрузку вредоносного кода.

Основная часть вредоносного ПО под названием «growth» представляет собой программу, которая собирает информацию о заражённом устройстве и отправляет её на сервер злоумышленников. Затем программа получает команды и выполняет их на компьютере, обеспечивая хакерам полный доступ. Для закрепления на устройстве используется скрытая настройка в системе macOS, которая автоматически запускает вредоносное ПО при каждом запуске системы.

Хакеры используют разнообразные домены, которые выглядят как настоящие сайты, связанные с криптовалютами и инвестициями, что помогает обманывать пользователей. Домены использовались для рассылки фишинговых писем и маскировки вредоносных программ под легитимные документы. В кампании Hidden Risk также использовались домены kalpadvisory[.]com и delphidigital[.]org, которые ранее фигурировали в индустрии криптовалют.

Темы:ПреступленияКНДРSentinel Labsгосударственные хакеры
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...