Un groupe de piratage nord-coréen vole des millions de personnes en se faisant passer pour des sociétés de capital-risque et des banques japonaises

Ce 27 décembre, Kaspersky Lab a annoncé que le groupe de piratage nord-coréen « BlueNoroff » avait volé des millions de dollars en crypto-monnaies après avoir créé plus de 70 faux domaines et usurpé l'identité de banques et de sociétés de capital-risque.

Selon le enquête, la plupart des domaines imitaient les sociétés de capital-risque japonaises, ce qui dénote un vif intérêt pour les données des utilisateurs et des entreprises dans ce pays.

"Après avoir recherché l'infrastructure utilisée, nous avons découvert plus de 70 domaines utilisés par ce groupe, ce qui signifie qu'ils étaient très actifs jusqu'à récemment. En outre, ils ont créé de nombreux faux domaines qui ressemblent à des domaines de capital-risque et de banque.

Le groupe Bluenoroff a perfectionné ses techniques d'infection

Il y a encore quelques mois, le groupe BlueNoroff utilisait des documents Word pour injecter des malwares. Cependant, ils ont récemment amélioré leurs techniques en créant un nouveau fichier Windows Batch qui leur permet d'étendre la portée et le mode d'exécution de leurs logiciels malveillants.

Ces nouveaux fichiers .bat contournent les mesures de sécurité Windows Mark-of-the-Web (MOTW), une marque cachée attachée aux fichiers téléchargés sur Internet pour protéger les utilisateurs contre les fichiers provenant de sources non fiables.

Après une enquête approfondie fin septembre, Kaspersky a confirmé qu'en plus d'utiliser de nouveaux scripts, le groupe BlueNoroff avait commencé à utiliser des fichiers d'image disque .iso et .vhd pour distribuer des virus.

Kaspersky a également découvert qu'un utilisateur aux Émirats arabes unis avait été victime du groupe BlueNoroff après avoir téléchargé un document Word appelé "Shamjit Client Details Form.doc", qui permettait aux pirates de se connecter à son ordinateur et d'extraire des informations alors qu'ils tentaient d'exécuter même malware plus puissant.

Une fois que les pirates se sont connectés à l'ordinateur, "ils ont tenté de prendre les empreintes digitales de la victime et d'installer des logiciels malveillants supplémentaires avec des privilèges élevés", cependant, la victime a exécuté plusieurs commandes pour recueillir des informations système de base, empêchant le logiciel malveillant de se propager encore plus.

Les techniques de piratage deviennent plus dangereuses

Crois le ou non, les rapports disent que la Corée du Nord est en tête du monde en termes de crime cryptographique. Rapports disent que les pirates nord-coréens ont pu voler plus d'un milliard de dollars de crypto jusqu'en mai 1. Son plus grand groupe, Lazarus, a été désigné comme responsable d'attaques de phishing majeures et de techniques de propagation de logiciels malveillants

Après le vol de plus de 620 XNUMX millions de dollars d'Axie Infinity, le groupe de hackers nord-coréen Lazarus, l'un des plus grands groupes de hackers au monde, a collecté suffisamment d'argent pour améliorer son logiciel à tel point qu'il a créé un système de crypto-monnaie avancé via un domaine appelé bloxholder.com qu'il a utilisé comme une façade pour voler les clés privées de plusieurs de leurs « clients ».

As rapporté par Microsoft, les attaques ciblant les organisations de crypto-monnaie pour des récompenses plus élevées ont augmenté au cours des dernières années, de sorte que les attaques sont devenues plus complexes qu'auparavant.

L'une des techniques les plus récentes utilisées par les pirates via les groupes Telegram consiste à envoyer des fichiers infectés déguisés en tableaux Excel contenant les structures de frais de la société d'échange comme crochet.

Une fois que les victimes ont ouvert les fichiers, elles téléchargent une série de programmes permettant au pirate d'accéder à distance à l'appareil infecté, qu'il s'agisse d'un appareil mobile ou d'un PC.