Gli hacker nordcoreani hanno cambiato i loro metodi in un’escalation delle loro tattiche di guerra informatica. Ora utilizzano le e-mail di phishing come strumento principale per prendere di mira le aziende di criptovaluta.
Un recente rapporto della società di ricerca sulla sicurezza informatica SentinelLabs ha collegato questo cambiamento a BlueNoroff, un noto sottogruppo all’interno del Lazarus Group.
Gli hacker nordcoreani puntano sul phishing nella campagna "Rischio nascosto".
BlueNoroff è famoso per i suoi estesi crimini informatici volti a finanziare le iniziative nucleari e sugli armamenti della Corea del Nord. La nuova campagna, denominata "Rischio nascosto", rivela un perno strategico che va dalla raccolta dei social media all'infiltrazione più diretta basata sulla posta elettronica.
Gli hacker hanno intensificato i loro sforzi nella campagna "Rischio nascosto" utilizzando e-mail di phishing altamente mirate. Travestite da avvisi di notizie crittografiche sui prezzi dei Bitcoin o da aggiornamenti sulle tendenze della finanza decentralizzata (DeFi), queste e-mail inducono i destinatari a fare clic su collegamenti apparentemente legittimi. Una volta cliccati, questi collegamenti distribuiscono applicazioni cariche di malware sui dispositivi degli utenti, offrendo agli aggressori l'accesso diretto ai dati aziendali sensibili.
"La campagna, che abbiamo soprannominato 'Rischio nascosto', utilizza e-mail che propagano notizie false sulle tendenze delle criptovalute per infettare gli obiettivi tramite un'applicazione dannosa mascherata da file PDF", si legge nel rapporto.
Il malware nella campagna "Rischio nascosto" è particolarmente sofisticato e riesce a bypassare di fatto i protocolli di sicurezza integrati di Apple. Utilizzando ID sviluppatore Apple legittimi, elude il sistema Gatekeeper di macOS, che ha suscitato notevoli preoccupazioni tra gli esperti di sicurezza informatica.
Gli hacker nordcoreani si affidano tradizionalmente ad elaborate tecniche di social media per stabilire un rapporto di fiducia con i dipendenti delle società crittografiche e finanziarie. Interagendo con obiettivi su piattaforme come LinkedIn e Twitter, hanno creato l’illusione di rapporti professionali legittimi. Sebbene efficace, questo metodo paziente richiedeva molto tempo, spingendo a passare a tattiche più rapide e basate su malware.
Le attività di hacking della Corea del Nord si sono intensificate mentre il settore delle criptovalute continua a crescere. Attualmente valutato oltre 2,6 trilioni di dollari, lo spazio crittografico è un obiettivo attraente per gli hacker sponsorizzati dallo stato nordcoreano. Il rapporto di SentinelLabs evidenzia come questo ambiente sia particolarmente suscettibile agli attacchi informatici, rendendolo un lucroso terreno di caccia per Lazarus.
Una minaccia crescente per l’industria delle criptovalute
Secondo un recenteavvertimento dell’FBI, gli hacker nordcoreani si sono concentrati sulle società DeFi e sugli Exchange Traded Fund (ETF) . Sfruttano campagne di ingegneria sociale e phishing rivolte direttamente ai dipendenti di questi settori. Gli avvertimenti hanno esortato le aziende a rafforzare i propri protocolli di sicurezza e hanno in particolare avvisato della necessità di effettuare controlli incrociati tra gli indirizzi dei portafogli dei clienti e gli indirizzi noti collegati agli hacker .
BeInCrypto ha anche riferito come il Gruppo Lazarus abbia imparato ad aggirare le sanzioni occidentali. Hanno manipolato le lacune nelle normative internazionali per facilitare il riciclaggio di denaro basato sulle criptovalute. Una pietra miliare significativa in questa sequenza temporale è stata l’utilizzo del protocollo sulla privacy RailGun , che fornisce transazioni anonime sulla blockchain di Ethereum.
Il governo degli Stati Uniti non è rimasto passivo in risposta alle crescenti campagne informatiche della Corea del Nord. Il Dipartimento del Tesoro ha sanzionato il servizio di mixaggio di criptovalute Tornado Cash , citando il suo ruolo nell'aiutare gli hacker nordcoreani a oscurare transazioni illecite. Tornado Cash , simile a RailGun, consente agli utenti di rendere anonimi i movimenti di criptovaluta, fornendo agli hacker un potente strumento per coprire le loro tracce.
Le sanzioni facevano parte di un giro di vite più ampio, evidenziando come le attività legate alle criptovalute della Corea del Nord stiano diventando un punto di interesse significativo per i governi occidentali. La tempistica di queste sanzioni è in linea con le intensificate attività della Corea del Nord nel settore delle criptovalute, in particolare attraverso Lazarus.
Data la sofisticatezza della nuova campagna "Rischio nascosto", SentinelLabs consiglia agli utenti e alle organizzazioni macOS, in particolare a quelle coinvolte nella criptovaluta, di rafforzare le misure di sicurezza. Raccomandano alle aziende di eseguire scansioni approfondite del malware, effettuare controlli incrociati delle firme degli sviluppatori ed evitare di scaricare allegati da e-mail non richieste.
Queste misure proattive sono essenziali per proteggersi da malware sempre più complessi progettati per rimanere nascosti all’interno dei sistemi.
Il post Gli hacker nordcoreani spostano le tattiche per prendere di mira le aziende crittografiche è apparso per la prima volta su BeInCrypto .