BlueNoroff, il famigerato gruppo di hacker nordcoreani responsabile di diversi attacchi di phishing e di cybersicurezza dal 2019, sta prendendo di mira le aziende crypto con un nuovo malware che attacca i computer MacOS.
Secondo un report di SentinelLabs, l'operazione di malware soprannominata “Hidden Risk” si diffonde attraverso file PDF in più fasi. Gli attori della minaccia utilizzano titoli di notizie false e ricerche legittime sul mercato crypto per attirare individui e aziende ignari.
Una volta che l'utente scarica il file PDF, viene scaricato e aperto un PDF esca apparentemente legittimo, mentre il malware viene scaricato come file separato sulla scrivania di MacOS in background.
Questo pacchetto di malware contiene una serie di funzioni progettate per fornire agli hacker una backdoor per accedere da remoto al computer della vittima e rubare informazioni sensibili, tra cui le chiavi private per i wallet e le piattaforme di asset digitali.
Una mappa dell'exploit BlueNoroff. Fonte: SentinelLabs
L'FBI lancia un allarme sugli hacker nordcoreani
Negli ultimi anni il Federal Bureau of Investigation (FBI) degli Stati Uniti ha lanciato diversi avvertimenti su BlueNoroff, sul più ampio gruppo di hacker Lazarus e su altri attori maligni legati al regime nordcoreano.
Nell'aprile del 2022, le forze dell'ordine e la Cybersecurity and Infrastructure Security Agency (CISA) hanno lanciato l'allarme e consigliato alle aziende crypto di adottare misure precauzionali per mitigare i rischi posti dai gruppi di hacking sanzionati dallo Stato.
In seguito all'avvertimento, BlueNoroff ha avviato un'altra campagna di phishing nel dicembre del 2022, rivolta ad aziende e banche. Gli attori della minaccia hanno creato più di 70 nomi di dominio fraudolenti, progettati per mascherare gli hacker come società di venture capital legittime, per ottenere l'accesso ai computer delle vittime e rubare i fondi.
Più recentemente, nel settembre 2024, l'FBI ha rivelato che il Lazarus Group utilizzava ancora una volta schemi di ingegneria sociale per rubare crypto. L'FBI ha spiegato che gli hacker hanno preso di mira i dipendenti degli exchange centralizzati e delle società finanziarie decentralizzate con offerte di lavoro fraudolente.
L'obiettivo dell'operazione di phishing era quello di costruire relazioni con le vittime target e di promuovere la fiducia. Una volta instaurata una fiducia sufficiente, le vittime venivano indirizzate a cliccare su un link malevolo che si presentava come test e domande di assunzione, compromettendo i loro sistemi e svuotando i wallet desktop dei fondi.