BlueNoroff — nhóm hacker khét tiếng của Triều Tiên, chịu trách nhiệm cho chuỗi tấn công phishing và an ninh mạng từ năm 2019 — hiện đang nhằm vào các công ty Tiền Điện Tử với một phần mềm độc hại mới tấn công máy MacOS.
Theo một báo cáo từ SentinelLabs, hoạt động phần mềm độc hại có tên “Hidden Risk” được lan truyền qua các tệp PDF qua nhiều giai đoạn. Các tác nhân đe dọa sử dụng các tiêu đề tin tức giả mạo và nghiên cứu thị trường Tiền Điện Tử hợp pháp để dụ dỗ những cá nhân và công ty không ngờ tới.
Khi người dùng tải tệp PDF xuống, một tệp PDF decoy dường như hợp pháp được tải và mở, trong khi phần mềm độc hại tải xuống như một tệp riêng biệt trên desktop của MacOS trong nền.
Gói phần mềm độc hại này chứa một số chức năng thiết kế để cho phép hacker truy cập từ xa vào máy tính của nạn nhân để đánh cắp thông tin nhạy cảm bao gồm các khóa riêng tư của các ví tài sản kỹ thuật số và nền tảng.
Bản đồ khai thác BlueNoroff. Nguồn: SentinelLabs
FBI cảnh báo về hacker Triều Tiên
Văn phòng Liên bang Điều tra (FBI) của Hoa Kỳ đã đưa ra nhiều cảnh báo về BlueNoroff, nhóm hacker Lazarus lớn hơn, và các tác nhân độc hại khác có liên kết với chế độ Triều Tiên trong những năm qua.
Vào tháng 4 năm 2022, cơ quan thực thi luật pháp và Cục An ninh mạng và An ninh hạ tầng (CISA) đã phát báo động và khuyên các công ty Tiền Điện Tử nên có các bước dự phòng để giảm thiểu rủi ro từ các nhóm hacker được nhà nước bảo trợ.
Sau cảnh báo, BlueNoroff đã khởi động một chiến dịch phishing khác vào tháng 12 năm 2022 nhằm vào các công ty và ngân hàng. Các tác nhân đe dọa đã tạo ra hơn 70 tên miền giả mạo thiết kế để ngụy trang hacker dưới hình thức công ty đầu tư mạo hiểm hợp pháp nhằm truy cập máy tính của nạn nhân mục tiêu và đánh cắp tiền.
Gần đây, vào tháng 9 năm 2024, FBI tiết lộ rằng nhóm Lazarus một lần nữa sử dụng các chiêu thức kỹ thuật social để đánh cắp Tiền Điện Tử. FBI giải thích rằng hacker đã nhằm vào nhân viên tại các sàn giao dịch tập trung và các công ty DeFi với các lời mời làm việc giả mạo.
Mục tiêu của chiến dịch phishing là xây dựng mối quan hệ với nạn nhân mục tiêu và gây dựng lòng tin. Khi đủ lòng tin được thiết lập, nạn nhân bị dẫn dắt nhấp vào các liên kết độc hại giả mạo dưới dạng bài kiểm tra và đơn ứng tuyển, điều này làm xâm phạm hệ thống của họ và rút cạn mọi ví tiền trên desktop.
