Северокорейское вредоносное ПО атакует пользователей Mac в криптоиндустрии

Новый отчет кибербезопасностной компании SentinelOne подчеркивает волну продвинутых атак вредоносного программного обеспечения, направленных на компании, работающие с криптовалютами, в частности, использующие устройства macOS.

Атаки, которые приписываются хакерам из Северной Кореи, связанными с группой «BlueNoroff», используют фишинговые электронные письма и обманные ссылки для проникновения в корпоративные системы и хищения средств.

Технические доказательства связывают компанию с BlueNoroff, подгруппой, которую недавно идентифицировало Министерство финансов США как часть Lazarus — самой известной правительственной хакерской группы Северной Кореи, как отмечено в The Record.

Кампания BlueNoroff, известная как «Скрытая угроза», началась, по сообщениям, в апреле 2023 года и использует поддельные новости о криптовалюте, чтобы завлекать жертв.

Злонамеренные приложения, маскирующиеся под документы PDF, обманывают пользователей, заставляя их скачивать вредоносное ПО. Эти фишинговые письма часто выглядят как пришедшие от авторитетных источников в индустрии криптовалют и содержат ссылки на «отчеты», которые на самом деле устанавливают вредоносное приложение.

Заголовки типа «Скрытый риск за новым ростом цены на Биткоин» созданы таким образом, чтобы выглядеть достоверными, вводя пользователей в заблуждение и подталкивая их к открытию файлов.

Отчет компании SentinelOne акцентирует внимание на новаторском приеме в рамках кампании: использовании файла «zshenv», скрытого системного файла macOS, для поддержания постоянства вредоносного ПО. Этот метод позволяет вредоносному ПО уклониться от обнаружения, не вызывая типичных системных предупреждений безопасности macOS.

После внедрения, вредоносное ПО устанавливает «заднюю дверь», позволяя злоумышленникам удаленно контролировать зараженные устройства, выполнять команды и собирать данные.

Эта кампания согласуется с давним интересом Северной Кореи к криптовалюте как источнику финансирования. В сентябре 2024 года ФБР предупредило о целенаправленных атаках хакеров из Северной Кореи на децентрализованные финансовые (DeFi) платформы и криптовалютные компании через фишинг.

Кампания «Скрытый риск» подчеркивает эволюцию методов этой группы, особенно в отношении целенаправленных атак на уязвимости в операционной системе macOS.

Открытия SentinelOne подчеркивают важность осторожности в криптоиндустрии. Эксперты по безопасности рекомендуют компаниям усилить свои протоколы безопасности, обучать сотрудников угрозам фишинга и проявлять осторожность при обработке неожиданных электронных писем или приложений.