Nova Cyber prijetnja: BlueNoroff i njihovi napadi na kriptovalute
U svijetu cyber sigurnosti, nova prijetnja koja dolazi iz Sjeverne Koreje izaziva zabrinutost među poslovanjima s kriptovalutama. Poznata kao BlueNoroff, ova grupa potpomognuta državom koristi sofisticirane metode napada kako bi iskoristila svoje žrtve. Istraživači cyber sigurnosti iz SentinelLabs nedavno su upozorili na ovaj novi oblik napada, istaknuvši povezanost BlueNoroff-a s infamoznom Lazarus grupom, koja je odgovorna za neke od najvećih pljački kriptovaluta u povijesti.
Kako BlueNoroff napada svoje žrtve?
Tradicionalno, BlueNoroff bi svoje žrtve “njeguju” putem društvenih mreža, tražeći način za izgradnju povjerenja prije nego što implementiraju bilo kakav malware. No, u posljednjoj kampanji, odlučili su se za izravniji pristup. Kako objašnjavaju istraživači, BlueNoroff posebno cilja kripto tvrtke slanjem phishing e-mailova koji izgledaju kao da su proslijeđeni od nekog poznatog kripto influencera.
Kako izgleda phishing e-mail?
- U e-mailu se nalaze lažne vijesti o najnovijim razvojem u sektoru kriptovaluta.
- Priložen je .PDF dokument koji preusmjerava žrtve na web stranicu pod kontrolom napadača.
- Na toj web stranici može biti benigni dokument o Bitcoin ETF-u ili zloćudna datoteka pod nazivom “Hidden Risk Behind New Surge of Bitcoin Price.app”.
Ova naziv je preuzet iz stvarnog akademskog rada sa Sveučilišta Texas, zbog čega je cijela kampanja dobila naziv “Hidden Risk”.
Višestupanjski malware
Malware koji koriste dolazi u više faza. Prva faza uključuje aplikaciju dropera, koja je potpisana važećim Apple Developer ID-jem, koji je kasnije opozvan. Ova aplikacija preuzima lažni PDF dokument koji zadrži žrtvu dok se u pozadini instalira drugi dio zloćudnog softvera, nazvan “growth”. Cilj ovog drugog dijela je osigurati trajnu prisutnost i otvoriti “leđa vrata” za daljnje napade.
Sistem zahtjeva i ciljanih uređaja
Ovaj malware djeluje isključivo na macOS uređajima, koristeći Intel ili Apple silicon s Rosetta emulatorom. Konačna faza se sastoji od provjere sa C2 serverom svake minute kako bi primili nove naredbe, uključujući preuzimanje i izvođenje dodatnih zloćudnih dijelova, izvođenje shell naredbi ili prekid procesa.
Zaključak
Prema navodima istraživača, ova kampanja postoji već najmanje godinu dana, a BlueNoroff nastavlja predstavljati ozbiljnu prijetnju za kripto industriju. Uzimanje opreza i jačanje sigurnosnih mjera ključni su za zaštitu od ovih sofisticiranih napada. Ostati informiran o najnovijim trendovima u cyber sigurnosti može biti presudno za zaštitu vaših digitalnih ulaganja.
