Хакеров из Северной Кореи в очередной раз обвинили в проведении крупномасштабных кибератак против криптосервисов и обычных владельцев криптовалюты. Эксперты отмечают, что злоумышленники проводят атаки под названием Hidden Risk, подразумевающие взлом криптовалютных организаций с использованием вредоносного программного обеспечения, маскирующегося под стандартные документы.
По информации профильной компании по информационной безопасности SentinelLabs, ответственность за эти атаки несёт хакерская группировка BlueNoroff, являющаяся одним из подразделений известной группы Lazarus.
Основной целью северокорейских киберпреступников в этом случае является извлечение денежных средств из стремительно развивающейся криптовалютной индустрии, объём которой оценивается в 2,6 триллиона долларов. В процессе своих атак хакеры эксплуатируют уязвимости и используют недостатки регулирования в этой сфере во многих государствах мира. В частности, ФБР в США недавно предупреждало, что северокорейские хакеры стали намного чаще проводить атаки против сотрудников компаний, взаимодействующих в ходе своей профессиональной деятельности с децентрализованными финансами и биржевыми фондами. Большая часть атак проводится с применением методик социальной инженерии.
В ходе проведения кибератаки Hidden Risk киберпреступники концентрируются на компрометации внутренней IT-инфраструктуры криптовалютных бирж и финансовых платформ. Вместо того чтобы поддерживать продолжительные диалоги с потенциальными жертвами в социальных сетях и мессенджерах, хакеры активно переходят на фишинговые электронные письма, которые подделываются под различные новостные рассылки и обновления в сфере DeFi. В каждом таком письме под различными предлогами от пользователя требуется загрузить фейковые документы в формате PDF.
В случае, если пользователь скачивает такой PDF-документ и запускает его на своём компьютере, начинается выполнение вредоносного кода. Запускается вредоносное приложение, подписанное с применением реального аккаунта разработчика корпорации Apple, что позволяет злоумышленникам обходить защиту macOS (уточняется, что в Apple эту подпись уже отозвали).
После установки на пользовательском устройстве вредонос начинает сбор данных о заражённом устройстве и отправляет их на сервер киберпреступников. После этого программа получает команды от злоумышленников и выполняет их на скомпрометированном устройстве, предоставляя хакерам полный доступ к пользовательскому компьютеру или телефону. Чтобы закрепиться на пользовательском устройстве, вредонос применяет скрытую настройку в системе macOS, автоматически запускающую вредоносное программное обеспечение при каждом запуске системы.
Эта киберпреступная схема поддерживается с помощью огромного количества сайтов, выглядящих как реальные ресурсы, связанные с тематикой криптовалютных активов и инвестиций. Домены такого типа злоумышленниками применяются для рассылки фишинговых электронных писем и маскировки вредоносного программного обеспечения под легитимные стандартные документы.
Ещё по теме: