Този 27 декември Kaspersky Lab обяви, че севернокорейската хакерска група „BlueNoroff“ е откраднала милиони долари в криптовалути, след като е създала повече от 70 фалшиви домейна и се е представяла за банки и фирми за рисков капитал.
Според разследване, повечето от домейните имитират японски фирми за рисков капитал, което означава силен интерес към потребителски и фирмени данни в тази страна.
„След като проучихме използваната инфраструктура, открихме повече от 70 домейна, използвани от тази група, което означава, че те са били много активни доскоро. Освен това те създадоха множество фалшиви домейни, които изглеждат като домейни за рисков капитал и банки.
Групата Bluenoroff усъвършенства своите техники за заразяване
Допреди няколко месеца групата BlueNoroff използваше Word документи за инжектиране на зловреден софтуер. Въпреки това, те наскоро подобриха своите техники, създавайки нов пакетен файл на Windows, който им позволява да разширят обхвата и режима на изпълнение на своя зловреден софтуер.
Тези нови .bat файлове заобикалят мерките за сигурност на Windows Mark-of-the-Web (MOTW), скрит знак, прикрепен към файлове, изтеглени от интернет, за да защити потребителите срещу файлове от ненадеждни източници.
След задълбочено разследване в края на септември Kaspersky потвърди, че в допълнение към използването на нови скриптове, групата BlueNoroff е започнала да използва .iso и .vhd дискови изображения за разпространение на вируси.
Kaspersky също установи, че потребител в Обединените арабски емирства е станал жертва на групата BlueNoroff, след като е изтеглил документ на Word, наречен „Shamjit Client Details Form.doc“, който позволява на хакерите да се свържат с неговия компютър и да извлекат информация, докато се опитват да изпълнят дори по-мощен зловреден софтуер.
След като хакерите бяха влезли в компютъра, „те се опитаха да вземат пръстови отпечатъци на жертвата и да инсталират допълнителен зловреден софтуер с високи привилегии“, но жертвата изпълни няколко команди, за да събере основна системна информация, предотвратявайки разпространението на зловреден софтуер още повече.
Хакерските техники стават все по-опасни
Вярваш или не, докладите казват че Северна Корея е водеща в света по крипто престъпления. Доклади казват, че севернокорейските хакери са успели да откраднат криптовалута на стойност над 1 милиард долара до май 2022 г. Най-голямата й група, Lazarus, е посочена като отговорна за големи фишинг атаки и техники за разпространение на зловреден софтуер
След кражбата на повече от 620 милиона долара от Axie Infinity, севернокорейската хакерска група Lazarus, една от най-големите хакерски групи в света, събра достатъчно пари, за да подобри своя софтуер до такава степен, че създадоха усъвършенствана схема за криптовалута чрез домейн, наречен bloxholder.com, който използваха като параван за кражба на частните ключове на много от техните „клиенти“.
As съобщи от Microsoft атаките, насочени към организации за криптовалута за по-високи награди, се увеличиха през последните няколко години, така че атаките станаха по-сложни от преди.
Една от най-новите техники, използвани от хакерите чрез групите на Telegram, е изпращането на заразени файлове, маскирани като Excel таблици, съдържащи структури на таксите на борсовата компания като кука.
След като жертвите отворят файловете, те изтеглят серия от програми, позволяващи на хакера да получи отдалечен достъп до заразеното устройство, независимо дали е мобилно устройство или компютър.
Binance Безплатни $100 (изключително): Използвайте тази връзка да се регистрирате и да получите $100 безплатни и 10% отстъпка от таксите за Binance Futures първия месец (условия).
Специална оферта на PrimeXBT: Използвайте тази връзка за да се регистрирате и въведете POTATO50 код, за да получите до $7,000 на вашите депозити.
Източник: https://cryptopotato.com/north-korean-hacking-group-steals-millions-posing-as-japanese-vcs-and-banks/