12/11/24
Северокорейские хакеры запустили новую атаку под названием «Hidden Risk», в ходе которой взламывают криптовалютные компании с помощью вредоносных программ, замаскированных под обычные документы. По данным SentinelLabs, за атакой стоит группа BlueNoroff — подгруппа известной группировки Lazarus, передаёт Securitylab.
Цель хакеров — извлечь деньги из быстро развивающейся криптоиндустрии, объем которой уже достиг $2,6 трлн. Хакеры пользуются уязвимостями и недостатком регулирования в данной сфере. Недавно ФБР предупредило, что северокорейские киберпреступники стали чаще атаковать сотрудников компаний, работающих с децентрализованными финансами (DeFi) и биржевыми фондами (ETF), используя методы социальной инженерии.
Новая атака продолжает эти усилия, но теперь злоумышленники сосредоточились на взломе криптобирж и финансовых платформ. Вместо того чтобы выстраивать долгие отношения с жертвами через соцсети, хакеры перешли к фишинговым письмам. Письма выглядят как новости о курсе Bitcoin или обновления в сфере DeFi и убеждают пользователей скачать поддельные PDF-документы.
Атака начинается с запуска поддельного приложения, которое выглядит как PDF-файл, но на самом деле содержит вредоносный код. Приложение было подписано с использованием реальной учётной записи разработчика Apple, что позволило обойти защиту macOS. Однако позже Apple отозвала эту подпись. После установки вредоносная программа скачивает поддельный PDF и сохраняет его на компьютере, чтобы отвлечь внимание пользователя, а затем начинает загрузку вредоносного кода.
Основная часть вредоносного ПО под названием «growth» представляет собой программу, которая собирает информацию о заражённом устройстве и отправляет её на сервер злоумышленников. Затем программа получает команды и выполняет их на компьютере, обеспечивая хакерам полный доступ. Для закрепления на устройстве используется скрытая настройка в системе macOS, которая автоматически запускает вредоносное ПО при каждом запуске системы.
Хакеры используют разнообразные домены, которые выглядят как настоящие сайты, связанные с криптовалютами и инвестициями, что помогает обманывать пользователей. Домены использовались для рассылки фишинговых писем и маскировки вредоносных программ под легитимные документы. В кампании Hidden Risk также использовались домены kalpadvisory[.]com и delphidigital[.]org, которые ранее фигурировали в индустрии криптовалют.
