I pirati informatici nordcoreani hanno cambiato metodo, intensificando le loro tattiche di guerra cibernetica. Ora usano email di phishing come strumento principale per colpire le aziende di criptovalute.
Un recente rapporto di SentinelLabs collega questo cambiamento a BlueNoroff, un noto sottogruppo del Gruppo Lazarus.
Hacker nordcoreani passano al phishing nella campagna ‘Rischio nascosto’
BlueNoroff è noto per estesi crimini informatici finalizzati a finanziare le iniziative nucleari e armamentarie della Corea del Nord. La nuova campagna, chiamata “Hidden Risk”, mostra un cambio strategico dal corteggiamento sui social media all’infiltrazione diretta via email.
I pirati informatici hanno intensificato gli sforzi nella campagna “Hidden Risk” usando email di phishing molto mirate. Mascherate da avvisi di notizie su Bitcoin o aggiornamenti sulle tendenze della finanza decentralizzata (DeFi), queste email attirano i destinatari a cliccare su link apparentemente legittimi. Una volta cliccati, questi link distribuiscono applicazioni piene di malware ai dispositivi degli utenti, dando agli attaccanti accesso diretto a dati aziendali sensibili.
“La campagna, che abbiamo chiamato ‘Hidden Risk’, usa email che diffondono false notizie sulle tendenze delle criptovalute per infettare i bersagli tramite un’applicazione malevola travestita da file PDF,” si legge nel rapporto.
Il malware nella campagna “Hidden Risk” è notevolmente sofisticato, riuscendo a eludere i protocolli di sicurezza integrati di Apple. Usando ID di sviluppatori Apple legittimi, evita il sistema Gatekeeper di macOS, suscitando notevole preoccupazione tra gli esperti di cybersecurity.
I pirati informatici nordcoreani hanno tradizionalmente fatto affidamento su un elaborato corteggiamento sui social media per stabilire fiducia con i dipendenti delle aziende di cripto e finanziarie. Interagendo con i bersagli su piattaforme come LinkedIn e Twitter, creavano l’illusione di legittime relazioni professionali. Sebbene efficace, questo metodo paziente richiedeva tempo, spingendo verso un cambio verso tattiche basate su malware più rapide.
Le attività di hacking della Corea del Nord si sono intensificate man mano che il settore delle criptovalute continua a crescere. Attualmente valutato oltre 2,6 trilioni di USD, lo spazio cripto è un obiettivo attraente per i pirati informatici sponsorizzati dallo stato nordcoreano. Il rapporto di SentinelLabs evidenzia come questo ambiente sia particolarmente suscettibile agli attacchi informatici, rendendolo un terreno di caccia redditizio per Lazarus.
Una crescente minaccia per l’industria delle crypto
Secondo un recente avviso dell’FBI, i pirati informatici nordcoreani si sono concentrati su aziende DeFi e fondi negoziati in borsa (ETF). Utilizzano campagne di ingegneria sociale e phishing dirette ai dipendenti di questi settori. Gli avvisi hanno esortato le aziende a rafforzare i loro protocolli di sicurezza e hanno consigliato in particolare di verificare gli indirizzi dei portafogli dei clienti contro indirizzi noti di hacker.
BeInCrypto ha anche riportato come il Gruppo Lazarus abbia imparato a eludere le sanzioni occidentali. Hanno sfruttato le lacune nelle normative internazionali per facilitare il riciclaggio di denaro basato su cripto. Un importante traguardo in questa cronologia è stato l’utilizzo del protocollo di privacy RailGun, che offre transazioni anonime sulla blockchain di Ethereum.
Il governo degli Stati Uniti non è stato passivo di fronte alle campagne cibernetiche intensificate della Corea del Nord. Il Dipartimento del Tesoro ha sanzionato il servizio di mixing di cripto Tornado Cash, citando il suo ruolo nell’aiutare i pirati informatici nordcoreani a oscurare transazioni illecite. Tornado Cash, simile a RailGun, permette agli utenti di anonimizzare i movimenti di criptovalute, fornendo ai pirati uno strumento potente per coprire le loro tracce.
Le sanzioni facevano parte di una repressione più ampia, evidenziando come le attività cripto-relazionate della Corea del Nord stiano diventando un punto significativo di focus per i governi occidentali. Il tempismo di queste sanzioni si allinea con le attività intensificate della Corea del Nord nel settore cripto, specialmente tramite Lazarus.
Data la sofisticazione della nuova campagna “Hidden Risk”, SentinelLabs consiglia agli utenti e alle organizzazioni macOS, in particolare quelle coinvolte nelle criptovalute, di aumentare le misure di sicurezza. Raccomandano che le aziende effettuino scansioni approfondite di malware, verifichino le firme degli sviluppatori ed evitino di scaricare allegati da email non sollecitate.
Questi passi proattivi sono essenziali per proteggersi da malware sempre più complessi progettati per rimanere nascosti nei sistemi.
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
