Risques accrus pour les sociétés de crypto face au déploiement de logiciels malveillants multi-étapes MacOS par BlueNoroff
Un groupe d’espionnage cybernétique lié à l’État nord-coréen, BlueNoroff, intensifie ses attaques contre le secteur des cryptomonnaies, en particulier à travers une campagne de logiciels malveillants axée sur MacOS, baptisée « Hidden Risk ». Cette campagne, identifiée par Sentinel Labs, implique des tactiques de phishing haut de gamme dirigées vers les utilisateurs de MacOS occupant divers postes dans les échanges de cryptomonnaies et les plateformes DeFi. Cependant, cette activité s’inscrit dans une stratégie beaucoup plus large des groupes sponsorisés par l’État nord-coréen, principalement le groupe Lazarus, visant à générer des revenus par des moyens illicites. À ce jour, ils auraient détourné environ 3 milliards de dollars dans tous les secteurs depuis 2017.
Source: SentinelLabs
Techniques d’évasion de sécurité sur macOS
L’un des aspects les plus préoccupants du logiciel malveillant « Hidden Risk » est ses techniques d’évasion avancées. Le logiciel malveillant est signé avec de véritables identifiants de développeurs Apple, ce qui lui permet de contourner le mécanisme de sécurité Gatekeeper d’Apple, une fonctionnalité destinée à bloquer les logiciels non approuvés. De plus, il exploite une fonctionnalité rarement exploitée du système macOS, modifiant le fichier de configuration « zshenv » pour maintenir sa persistance. Cette technique évite de déclencher les notifications d’alerte de fond d’Apple, rendant le logiciel malveillant difficile à détecter et à supprimer.
Évolution croissante des préoccupations mondiales et avertissements du FBI
Les autorités américaines ont pris note des activités cybernétiques nord-coréennes ciblant l’industrie des cryptomonnaies. Le Bureau Fédéral d’Investigation a émis des avis aux sociétés de crypto, les avertissant de la menace accrue posée par des groupes nord-coréens comme BlueNoroff. Dans un bulletin récent, le FBI a noté une augmentation des schémas de phishing ciblant les travailleurs des plateformes DeFi, où les pirates utilisent des offres d’emploi lucratives ou des opportunités d’investissement pour tromper les victimes en téléchargeant des logiciels malveillants.
Source : bravenewcoin.com