Kaspersky, um laboratório de segurança cibernética, está alertando sobre táticas de phishing renovadas pelo grupo BlueNoroff. Os hackers são patrocinados pela Coreia do Norte, que tem motivação financeira para lucrar com seus ataques cibernéticos contra empresas financeiras, incluindo entidades criptográficas.
BlueNoroff criou mais de 70 domínios falsos que imitam capitale a rischio,en empresas e bancos. A maioria dos impostores se apresentou como empresas japonesas conhecidas. Ainda assim, alguns afirmaram ser dos Estados Unidos e do Vietnã.
O grupo BlueNoroff geralmente injeta malware por meio de documentos do Word e arquivos de atalho. Seu malware mais recente pode escapar do sinalizador Mark-of-the-Web (MOTW).
O relatório da Kaspersky revelou que o grupo BlueNoroff está experimentando novos tipos de arquivos e outros métodos de distribuição de malware.
Uma vez instalado, seu malware ignora os avisos de segurança MOTW do Windows sobre o download de conteúdo. Depois disso, o vírus intercepta grandes criptomoedas transferências, alterando o endereço da carteira do destinatário e aumentando o valor da transferência até o limite máximo, esvaziando a conta em uma única transação.
Seongsu Park, pesquisador da Kaspersky, observou o aumento nos ataques cibernéticos até 2023. Park enfatizou a necessidade de as empresas estarem mais seguras do que nunca à medida que surgem novas campanhas maliciosas.
Pressão de hackers norte-coreanos sobre segurança
A ameaça norte-coreana O ator atingiu pela primeira vez um banco central de Bangladesh em 2016 e está no radar dos serviços de segurança cibernética dos países dos Estados Unidos.
O Federal Bureau of Investigation (FBI) dos Estados Unidos, em conjunto com a Agência de Segurança Cibernética e Infraestrutura (CISA), aconselhou todas as empresas de criptomoedas americanas a reforçar sua arquitetura de segurança contra possíveis invasores de hackers norte-coreanos.
Um relatório de segurança do Group-IB ber recentemente revelou que desde 2017 mais de US$ 882 milhões foram roubados de trocas de criptomoedas pelo grupo Lazarus, patrocinado pelo estado.
O grupo é supostamente responsável pela exploração de $ 600 milhões do Ronin Bridge em março e foi recentemente descoberto usando mais de 500 domínios para tentar o roubo de tokens não fungíveis (NFT).
Infelizmente, as exchanges de criptomoedas não são as únicas vítimas desses hackers coreanos. O relatório do Group-IB também revelou que mais de 10% dos fundos das campanhas de oferta inicial (ICOs) foram roubados desde 2017.
Parte de uma operação maior?
O quarto 39, é um organização secreta dentro do governo norte-coreano que é responsável por gerar moeda estrangeira de fontes ilegais para o país. Há evidências de que ela está envolvida em uma série de atividades ilegais, incluindo falsificação e tráfico de drogas, bem como outros empreendimentos ilícitos, como venda de armas e hacking.
Desertores norte-coreanos dizem que ela é operada a partir de um prédio na capital Pyongyang, e supostamente chefiada por membros da família Kim, que detém o poder na Coreia do Norte há três gerações.
A natureza exata e o escopo das atividades da Room 39 estão envoltos em mistério, pois ela opera em segredo devido à natureza ilegal das operações. É provavelmente uma fonte importante de financiamento para a ditadura norte-coreana e acredita-se que seja responsável por gerar centenas de milhões de dólares em dinheiro escuro todos os anos.
Acredita-se que a organização tenha extensas conexões internacionais e pode exportar mão de obra escrava aos países europeus para aproveitar os custos trabalhistas mais altos na UE, em comparação com o Leste Asiático.
A Coreia do Norte está há muito tempo sob sanções lideradas pelos Estados Unidos, o que pressiona seu acesso a reservas cambiais. Ao lidar com negócios ilegais baseados em dinheiro, o país consegue acessar fundos líquidos, o que pode ser o motivo pelo qual os hackers norte-coreanos estão procurando mais criptomoedas no momento.
Mais um golpe para a Coreia do Norte
É impossível saber se a Sala 39 está por trás dos hacks em andamento, mas a Coreia do Norte é conhecida por negociações obscuras que levantam ativos líquidos. Outro negócio ilícito de longa data para a Coreia do Norte é a fabricação e exportação de metanfetamina, que um desertor do país afirma ter sido feito sob as ordens diretas de Kim Jong-il.
A metanfetamina é amplamente utilizada pela população local. Segundo algumas estimativas, até metade da população da Coreia do Norte usa a droga, que também é exportado em grandes quantidades. Países vizinhos como a China são os principais mercados de exportação, mas outras nações como os EUA interceptaram carregamentos de metanfetamina norte-coreanos.
Assim como os hackers de criptomoedas, negócios ilegais como a produção de metanfetamina provavelmente desfrutam do patrocínio do estado norte-coreano, o que torna provável que continuem desimpedidos.
Fonte: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/