Attaque de Malware contre les Utilisateurs Mac dans l’Industrie de la Crypto
Les utilisateurs de Mac dans l’industrie de la crypto sont ciblés par des attaques de malware par des pirates informatiques nord-coréens présumés cherchant à siphonner des fonds, selon un nouveau rapport. La firme de cybersécurité SentinelOne a publié un rapport jeudi dernier qui relie un incident observé en octobre à plusieurs autres attaques survenues depuis avril 2023.
Les chercheurs ont observé une tentative de phishing sur une entreprise liée à la crypto qui faisait partie d’une campagne remontant à juillet de cette année. La campagne – qu’ils ont surnommée « Risque Caché » – utilise des leurres par e-mail et des PDF avec de fausses informations ou des histoires sur des sujets liés à la crypto.
Un des PDF était basé sur un véritable document de recherche d’un universitaire associé à l’Université du Texas intitulé « Bitcoin ETF: Opportunités et Risques ». Des preuves techniques ont lié la campagne à BlueNoroff – un sous-groupe de pirates informatiques que le département du Trésor américain a récemment identifié comme faisant partie de Lazarus, le groupe de hackers gouvernementaux nord-coréen le plus célèbre.
Contrairement à d’autres campagnes attribuées précédemment à BlueNoroff, Risque Caché impliquait « un e-mail de phishing peu sophistiqué qui n’engage pas le destinataire avec du contenu contextualisé pertinent, comme des références à des informations personnelles ou professionnelles », ont expliqué les chercheurs de SentinelOne.
Le lien dans l’e-mail de phishing conduisait les utilisateurs vers la première étape d’un bundle d’application malveillante intitulé « Risque Caché Derrière la Nouvelle Montée des Prix du Bitcoin ». L’application Mac malveillante était signée le 19 octobre avec l’ID développeur Apple « Avantis Regtech Private Limited » – une signature depuis révoquée par Apple.
Une mise en garde importante est que BlueNoroff semble être capable d’acquérir ou de détourner des comptes de développeurs Apple « identifiés » valides à volonté, ce qui leur permet de faire notarier leur malware par Apple. Cela leur permet de contourner à plusieurs reprises les fonctionnalités de sécurité, facilitant les attaques sur les appareils Mac.
Stratégies et Réseaux de Surveillance
Les hackers ont également développé un vaste réseau d’infrastructures connectées imitant des organisations légitimes liées à la Web3, la cryptomonnaie, la fintech et les investissements. Au cours des derniers mois, les hackers ont abusé du registrar de domaine NameCheap pour créer de nombreux sites malveillants et ont utilisé des outils d’automatisation du marketing par e-mail comme Brevo pour contourner les filtres de détection des spams et des phishing.
Les chercheurs ont théorisé que l’attention des forces de l’ordre et de l’industrie cybernétique sur les campagnes précédentes pourrait avoir forcé les hackers à déplacer leurs activités, mais ont également noté qu’il est probable que ces acteurs soient suffisamment financés pour lancer plusieurs campagnes en même temps.
Les groupes nord-coréens comme BlueNoroff ont régulièrement ciblé des entreprises liées à la cryptomonnaie afin de voler des fonds ou d’insérer des malwares dans des appareils. Un rapport de SentinelLabs fait référence à plusieurs découvertes précédentes d’entreprises de sécurité telles que ESET, Jamf et d’autres mettant en lumière les attaques de BlueNoroff contre les utilisateurs macOS.
En septembre, le FBI a averti que la Corée du Nord menait des « campagnes d’ingénierie sociale hautement personnalisées et difficiles à détecter à l’encontre des employés de la finance décentralisée, de la cryptomonnaie et des entreprises similaires pour déployer des malwares et voler de la cryptomonnaie d’entreprise. ».
Source : therecord.media