Отчет Kaspersky: северокорейские хакеры выдают себя за криптовалютные венчурные компании в новой фишинговой сх?
В криптовалютном пространстве появилась новая мошенническая схема. BlueNoroff, подгруппа северокорейской хакерской группы Lazarus, теперь выдает себя за венчурных капиталистов, желающих инвестировать в крипто-стартапы, используя новый метод фишинга. Как работают мошенники?
Название BlueNoroff было впервые придумано Касперским еще в 2016 году, когда его исследователи расследовали нашумевшую атаку на Центральный банк Бангладеша.
Согласно отчету специалистов по безопасности из компании Kaspersky, BlueNoroff создала более 70 поддельных доменов, которые пытаются выдать себя за венчурные фирмы и банки. Большинство поддельных венчурных компаний выдавали себя за известные японские, американские и вьетнамские компании.
Затем эти фальшивые венчурные компании нацеливаются на криптовалютные стартапы, занимающиеся смарт-контрактами, DeFi, Blockchain и индустрией FinTech, используя новые методы распространения вредоносного ПО.
По словам экспертов, BlueNoroff также использует программное обеспечение для обхода технологии Mark-of-the-Web (MOTW), которая обеспечивает появление сообщения от Windows для предупреждения пользователей при попытке открыть файл, загруженный из Интернета. В пресс-релизе компания подробно описала новую схему севернокорейских мошенников:
“Злоумышленники использовали фишинговые методы, пытаясь заразить целевые компании, а затем перехватывали крупные криптовалютные переводы, меняя адрес получателя и доводя сумму перевода до предела. То есть, по сути, опустошая весь счет за одну транзакцию”.
Касперский отметил, что гражданин ОАЭ, работавший в отделе продаж и отвечавший за подписание контрактов, стал жертвой группы BlueNoroff после загрузки документа Word под названием “Shamjit Client Details Form.doc”, который позволил хакерам подключиться к его компьютеру и извлечь информацию.
Как сообщалось, с 2017 года северокорейские хакеры похитили криптоактивы на сумму около 1,5 трлн. вон ($1,2 млрд.). Более половины этой суммы, или около 800 млрд. вон ($626 млн.), было похищено в этом году.
По данным главного шпионского агентства Южной Кореи, Национальной разведывательной службы, Северная Корея использует похищенные криптоактивы для финансирования своей ядерной программы и поддержки своей хрупкой экономики, которая постоянно сокращалась в последние пару лет на фоне жестких санкций ООН и пандемии COVID-19.
Сонгсу Парк, ведущий исследователь безопасности в Глобальной исследовательско-аналитической группе Касперского (GReAT), заявил, что в 2023 году ожидается всплеск еще большей активности от северокорейских хакеров. Он пояснил:
“Согласно нашим недавним прогнозам на 2023 год, наступающий год будет отмечен кибер-эпидемиями с беспрецедентным воздействием и масштабом”.
