شکل جدیدی از بدافزار macOS توسط هکرهای فریبکار کره شمالی استفاده می شود

شناسهٔ خبر: 811379 - تاریخ: نوامبر 8, 2024

مهدی نوروزی

(اعتبار تصویر: گتی ایماژ)

BlueNoroff شاهد هدف قرار دادن مشاغل کریپتو با یک بدافزار جدید بود

بدافزار پایداری را ایجاد می کند و درب پشتی را باز می کند

می تواند بارهای اضافی را بارگیری کند، دستورات شل را اجرا کند و موارد دیگر

بازیگران تهدیدکننده حیله گر تحت حمایت دولت کره شمالی که به نام BlueNoroff شناخته می شوند، در حال استقرار یک بدافزار کاملاً جدید برای حمله به قربانیان خود مشاهده شده اند.

محققان امنیت سایبری SentinelLabs زنگ خطر را در مورد کمپین جدید به صدا درآوردند و بيان کرد ند که BlueNoroff زیرگروهی از Lazarus است، یک سازمان بدنام کره شمالی که بیشتر مشاغل و افراد ارز دیجیتال در غرب را هدف قرار می دهد. به برخی از بزرگترین سرقت های رمزنگاری در تاریخ نسبت داده می شود.

معمولاً، این گروه قبل از استقرار هر بدافزار، قربانیان خود را در رسانه‌های اجتماعی «پرورش» می‌کنند. با این حال، در این کمپین، آنها رویکرد مستقیم تری را اتخاذ کرده اند.

بیشتر بخوانید

فوری/ خودروها از این تاریخ با مدل ۱۴۰۳ شماره گذاری می شوند

ریسک پنهان

همانطور که SentinelLabs توضیح می‌دهد، BlueNoroff قربانیان خود، عمدتاً مشاغل رمزنگاری، را با یک ایمیل فیشینگ که ظاهراً از یک تأثیرگذار رمزارز ارسال شده است، هدف قرار می‌دهد.

این ایمیل حاوی اخبار جعلی درباره آخرین پیشرفت‌ها در بخش ارزهای دیجیتال است، به شکل یک فایل PDF. که قربانیان را به وب‌سایتی تحت کنترل مهاجمان هدایت می‌کند. آن وب‌سایت گاهی اوقات یک سند ETF بیت‌کوین و گاهی یک فایل مخرب به نام «ریسک پنهان پشت موج جدید قیمت بیت‌کوین» ارائه می‌کند.

محققان گفت ند که این نام از یک مقاله علمی واقعی از دانشگاه تگزاس گرفته شده است. پس کل کمپین "ریسک پنهان" نامیده می شود.

بدافزار در چند مرحله ارائه می شود. مرحله اول یک برنامه قطره چکان است که با یک شناسه برنامه نویس معتبر اپل امضا شده است که در این بین لغو شد. این قطره چکان یک فایل PDF فریبنده را دانلود می کند که باید قربانی را در حالی که بار مرحله دوم در پس زمینه مستقر است مشغول نگه دارد.

این محموله "رشد" نامیده می شود و هدف آن ایجاد پایداری و باز کردن درب پشتی به روی دستگاه آلوده است. این تنها بر روی دستگاه‌های macOS که بر روی سیلیکون اینتل یا اپل اجرا می‌شوند، با چارچوب شبیه‌سازی Rosetta کار می‌کند. مرحله آخر این است که هر دقیقه دستورات جدید را با سرور C2 تحلیل کنید، که شامل دانلود و اجرای بارهای اضافی، اجرای دستورات پوسته یا خاتمه فرآیند می شود.

محققان گفتند که این کمپین حداقل یک سال است که فعال بوده است.

دیگر اخبار

پژوهش جدید: تنهایی می‌تواند برای سلامتی افراد مسن بسیار مضر باشد

از طریق Bleeping Computer

شما هم ممکن است دوست داشته باشید

Sead یک روزنامه‌نگار آزاد کارکشته در سارایوو، بوسنی و هرزگوین است. او در مورد IT (ابر، اینترنت اشیا، 5G، VPN) و امنیت سایبری (باج افزار، نقض داده ها، قوانین و مقررات) می نویسد. او در طول بیش از یک دهه فعالیت حرفه ای خود برای رسانه های متعددی از جمله الجزیره بالکان نوشته است. او همچنین چندین ماژول در زمینه نوشتن محتوا برای Represent Communications برگزار کرده است.

خبرکاو