BlueNoroff شاهد هدف قرار دادن مشاغل کریپتو با یک بدافزار جدید بود
بدافزار پایداری را ایجاد می کند و درب پشتی را باز می کند
می تواند بارهای اضافی را بارگیری کند، دستورات شل را اجرا کند و موارد دیگر
بازیگران تهدیدکننده حیله گر تحت حمایت دولت کره شمالی که به نام BlueNoroff شناخته می شوند، در حال استقرار یک بدافزار کاملاً جدید برای حمله به قربانیان خود مشاهده شده اند.
محققان امنیت سایبری SentinelLabs زنگ خطر را در مورد کمپین جدید به صدا درآوردند و بيان کرد ند که BlueNoroff زیرگروهی از Lazarus است، یک سازمان بدنام کره شمالی که بیشتر مشاغل و افراد ارز دیجیتال در غرب را هدف قرار می دهد. به برخی از بزرگترین سرقت های رمزنگاری در تاریخ نسبت داده می شود.
معمولاً، این گروه قبل از استقرار هر بدافزار، قربانیان خود را در رسانههای اجتماعی «پرورش» میکنند. با این حال، در این کمپین، آنها رویکرد مستقیم تری را اتخاذ کرده اند.
ریسک پنهان
همانطور که SentinelLabs توضیح میدهد، BlueNoroff قربانیان خود، عمدتاً مشاغل رمزنگاری، را با یک ایمیل فیشینگ که ظاهراً از یک تأثیرگذار رمزارز ارسال شده است، هدف قرار میدهد.
این ایمیل حاوی اخبار جعلی درباره آخرین پیشرفتها در بخش ارزهای دیجیتال است، به شکل یک فایل PDF. که قربانیان را به وبسایتی تحت کنترل مهاجمان هدایت میکند. آن وبسایت گاهی اوقات یک سند ETF بیتکوین و گاهی یک فایل مخرب به نام «ریسک پنهان پشت موج جدید قیمت بیتکوین» ارائه میکند.
محققان گفت ند که این نام از یک مقاله علمی واقعی از دانشگاه تگزاس گرفته شده است. پس کل کمپین "ریسک پنهان" نامیده می شود.
بدافزار در چند مرحله ارائه می شود. مرحله اول یک برنامه قطره چکان است که با یک شناسه برنامه نویس معتبر اپل امضا شده است که در این بین لغو شد. این قطره چکان یک فایل PDF فریبنده را دانلود می کند که باید قربانی را در حالی که بار مرحله دوم در پس زمینه مستقر است مشغول نگه دارد.
این محموله "رشد" نامیده می شود و هدف آن ایجاد پایداری و باز کردن درب پشتی به روی دستگاه آلوده است. این تنها بر روی دستگاههای macOS که بر روی سیلیکون اینتل یا اپل اجرا میشوند، با چارچوب شبیهسازی Rosetta کار میکند. مرحله آخر این است که هر دقیقه دستورات جدید را با سرور C2 تحلیل کنید، که شامل دانلود و اجرای بارهای اضافی، اجرای دستورات پوسته یا خاتمه فرآیند می شود.
محققان گفتند که این کمپین حداقل یک سال است که فعال بوده است.
از طریق Bleeping Computer
ارسال نظر