Il 27 dicembre, Kaspersky Lab ha annunciato che il gruppo di hacker nordcoreano "BlueNoroff" ha rubato milioni di dollari in criptovalute dopo aver creato più di 70 domini falsi e impersonato banche e società di capitali di rischio.
Secondo l' indagine , la maggior parte dei domini imitava le società di venture capital giapponesi, denotando un forte interesse per i dati degli utenti e delle società all'interno di quel paese.
“Dopo aver ricercato l'infrastruttura utilizzata, abbiamo scoperto più di 70 domini utilizzati da questo gruppo, il che significa che erano molto attivi fino a poco tempo fa. Inoltre, hanno creato numerosi domini falsi che sembrano domini di capitali di rischio e di banche".
Il gruppo Bluenoroff ha perfezionato le sue tecniche di infezione
Fino a pochi mesi fa, il gruppo BlueNoroff utilizzava documenti Word per iniettare malware. Tuttavia, recentemente hanno migliorato le loro tecniche, creando un nuovo file Batch di Windows che consente loro di estendere l'ambito e la modalità di esecuzione del loro malware.
Questi nuovi file .bat eludono le misure di sicurezza MOTW (Mark-of-the-Web) di Windows, un marchio nascosto allegato ai file scaricati da Internet per proteggere gli utenti da file provenienti da fonti non attendibili.
Dopo un'indagine approfondita alla fine di settembre, Kaspersky ha confermato che oltre a utilizzare nuovi script, il gruppo BlueNoroff ha iniziato a utilizzare i file immagine disco .iso e .vhd per distribuire virus.
Kaspersky ha anche scoperto che un utente negli Emirati Arabi Uniti è caduto vittima del gruppo BlueNoroff dopo aver scaricato un documento Word chiamato "Shamjit Client Details Form.doc", che ha permesso agli hacker di connettersi al suo computer ed estrarre informazioni mentre tentavano di eseguire anche malware più potente.
Una volta che gli hacker hanno effettuato l'accesso al computer, "hanno tentato di rilevare le impronte digitali della vittima e installare malware aggiuntivo con privilegi elevati", tuttavia, la vittima ha eseguito diversi comandi per raccogliere informazioni di base sul sistema, impedendo al malware di diffondersi ancora di più.
Le tecniche di hacking diventano più pericolose
Che tu ci creda o no, i rapporti dicono che la Corea del Nord è in testa al mondo in termini di criminalità crittografica. I rapporti dicono che gli hacker nordcoreani sono stati in grado di rubare oltre $ 1 miliardo di criptovalute fino a maggio 2022. Il suo gruppo più grande, Lazarus, è stato indicato come responsabile di importanti attacchi di phishing e tecniche di diffusione di malware
Dopo il furto di oltre 620 milioni di dollari da Axie Infinity, il gruppo di hacker nordcoreani Lazarus, uno dei più grandi gruppi di hacker al mondo, ha raccolto abbastanza soldi per migliorare il proprio software a tal punto da creare uno schema avanzato di criptovaluta attraverso un dominio chiamato bloxholder.com che hanno usato come copertura per rubare le chiavi private di molti dei loro "clienti".
Come riportato da Microsoft, negli ultimi anni sono aumentati gli attacchi mirati alle organizzazioni di criptovaluta per ottenere ricompense più elevate, quindi gli attacchi sono diventati più complessi di prima.
Una delle tecniche più recenti utilizzate dagli hacker attraverso i gruppi di Telegram è l'invio di file infetti camuffati da tabelle Excel contenenti le strutture tariffarie delle società di scambio come hook.
Una volta che le vittime aprono i file, scaricano una serie di programmi che consentono all'hacker di accedere da remoto al dispositivo infetto, sia esso un dispositivo mobile o un PC.
Il post Il gruppo di hacker nordcoreano ruba milioni spacciandosi per VC e banche giapponesi è apparso per la prima volta su CryptoPotato .