Скрытая угроза: как один клик открывает доступ хакерам из КНДР к Apple-устройствам
Группа северокорейских хакеров BlueNoroff нацелена на глобальную криптовалютную экономику, которая оценивается в 2,6 триллиона долларов, используя новые, более изощренные методы атаки. Последняя инициатива под кодовым названием «Hidden Risk» охватывает криптофирмы. По информации, предоставленной SentinelLabs, BlueNoroff — это часть более крупной хакерской группировки Lazarus.
Основное направление атак направлено на кражу средств из быстро развивающегося сектора криптовалюты. В этом им помогают слабости и отсутствие регулирования в этой индустрии. Недавно ФБР сообщило, что наблюдается рост атак, нацеленных на сотрудников компаний, занимающихся децентрализованными финансами (DeFi) и биржевыми фондами (ETF), через методы социальной инженерии.
Ранее взломчики устанавливали долговременные отношения через социальные сети, но теперь они переметнулись к массовым фишинговым рассылкам с использованием писем, которые якобы содержат новости о Bitcoin и нововведениях в сфере DeFi. Эти письма, на самом деле, содержат вредоносные файлы формата PDF, которые маскируются под безопасные документы.
Новая атака начинается с выполнения поддельного приложения, которое имитирует PDF-документ. Вредоносное ПО подписано с помощью легитимной учётной записи Apple-разработчика, что позволяет обойти защиту macOS, хотя впоследствии Apple отозвала сертификат. Программа загружает поддельный PDF на компьютер, скрывая установку зловредного кода, который тихо работает в фоне.
Этот код, известный как «growth», собирает данные зараженного компьютера и отправляет их на сервера хакеров, откуда те могут удалённо управлять устройством. Для обеспечения постоянного доступа злоумышленники используют скрытые функции macOS, благодаря которым вирус загружается при каждом запуске системы.
Для камуфляжа своих действий хакеры используют фальшивые домены, имитирующие легитимные сайты в сфере криптовалют и инвестиций, через которые отправляются фишинговые письма и распространяются поддельные документы. В числе таких доменов оказались ранее задействованные на рынке криптовалют сайты kalpadvisory[.]com и delphidigital[.]org.
Аналитики SentinelLabs отмечают, что киберпреступники создают сложные сети доменов и серверов, чтобы оставаться незамеченными. Автоматизированные сервисы используются для обхода фильтров безопасности, обеспечивая доставку их сообщений минуя папки спама.
Эксперты настоятельно рекомендуют пользователям Apple обратиться к усилению киберзащиты, поскольку даже приложения с официальной подписью могут нести угрозу безопасности устройств.
Практические советы по защите
- Регулярно обновляйте операционную систему и программное обеспечение устройств.
- Будьте осторожны с электронной почтой: не открывайте вложения из неизвестных источников.
- Используйте надежные антивирусные программы и фаерволы для дополнительной защиты.
- Активируйте двухфакторную аутентификацию везде, где это возможно.
Оставайтесь в безопасности и будьте внимательны к своей цифровой защите!