Según una nueva investigación de SentinelOne, el conocido grupo de piratas informáticos de Corea del Norte BlueNoroff fue sorprendido enviando señuelos de phishing con titulares de noticias falsos o historias sobre temas relacionados con las criptomonedas a objetivos de finanzas descentralizadas (DeFi) y negocios de criptomonedas.
Los delitos de ciberseguridad en torno a las criptomonedas por parte de dicho grupo, sigue con nuevas variantes.
A vueltas con BlueNoroff: el actor de amenazas apunta a Mac con noticias criptográficas falsas
A principios de septiembre de 2024, el FBI comenzó a advertir que Corea del Norte estaba llevando a cabo “campañas de ingeniería social altamente personalizadas y difíciles de detectar contra empleados de finanzas descentralizadas (“DeFi”), criptomonedas y negocios similares para implementar malware y robar criptomonedas de la empresa”. . Posteriormente, los investigadores de Jamf dieron seguimiento a este informe unas semanas más tarde y detallaron un intento de ataque que implementó malware disfrazado de un actualizador de Visual Studio
En octubre de 2024, SentinelLabs observó un intento de phishing en una industria relacionada con las criptomonedas que entregaba una aplicación cuentagotas y una carga útil que llevaba muchas de las características de estos ataques anteriores. Creen que la campaña probablemente comenzó en julio de 2024 y utiliza correos electrónicos y PDF como señuelos con titulares de noticias falsas o historias sobre temas relacionados con las criptomonedas. Llamamos a esta campaña ‘Hidden Risk’ (riesgo oculto) y detallan su funcionamiento y sus indicadores de compromiso en un informe, incluido el uso de un novedoso mecanismo de persistencia que abusa del archivo de configuración zshenv.
Los correos electrónicos secuestran el nombre de una persona real en una industria no relacionada como remitente y pretenden reenviar un mensaje de un conocido influyente en las redes sociales criptográficas. En el caso del pdf ‘Hidden Risk’, los actores de amenazas copiaron un artículo de investigación genuino titulado ‘Bitcoin ETF: Opportunities and Risk’ de un académico asociado con la Universidad de Texas y alojado en línea en el International Journal of Science and Research Archive ( IJSRA).
Dentro de los correos electrónicos, los hackers respaldados por el gobierno de Corea del Norte incorporaron una aplicación macOS maliciosa disfrazada de un enlace a un documento PDF relacionado con un tema de criptomonedas como «Riesgo oculto detrás del nuevo aumento del precio de Bitcoin», «Temporada 2.0 de Altcoin: las gemas ocultas para ver” y “Nueva era para Stablecoins y DeFi, CeFi”.
SentinelOne dijo que la campaña, llamada ‘Riesgo oculto’, también abusa del archivo de configuración ‘zshenv‘ para mantener la persistencia sin activar las notificaciones de modificación de elementos en segundo plano de macOS Ventura.
Las notificaciones de macOS están diseñadas para alertar a los usuarios sobre cambios en métodos de persistencia comunes como LaunchAgents y LaunchDaemons.
Según la documentación de SentinelOne, el malware de primera etapa es una aplicación macOS escrita en Swift, con el mismo nombre que el documento PDF incrustado. La aplicación está firmada y certificada ante notario utilizando una ID de desarrollador de Apple legítima (ya revocada) y, tras su ejecución, descarga un PDF señuelo desde un enlace de Google Drive y lo abre usando el visor de PDF predeterminado de macOS para evitar despertar sospechas.
Al mismo tiempo, los investigadores de SentinelOne observaron que el malware descargaba y ejecutaba un binario malicioso x86-64 desde una URL codificada. La aplicación pasa por alto las funciones de seguridad de macOS al especificar excepciones en su archivo Info.plist para permitir conexiones HTTP inseguras, dijeron las compañías.
La empresa también documentó el uso de una puerta trasera de segunda etapa que recopila información del sistema, genera un identificador único y establece comunicación con un servidor de comando y control (C2).
SentinelOne dijo que la puerta trasera está programada para enviar la versión del sistema operativo, el modelo de hardware y la lista de procesos al servidor C2 y espera más instrucciones.
BlueNoroff está documentado públicamente como un subgrupo dentro de la operación Lazarus Group de Corea del Norte. El grupo se especializa en delitos cibernéticos financieros, dirigidos particularmente a bancos e intercambios de criptomonedas para financiar el régimen de Corea del Norte.
