Северокорейская хакерская группа похищает миллионы, выдавая себя за японские венчурные компании и банки

27 декабря "Лаборатория Касперского" объявила, что северокорейская хакерская группа `BlueNoroff` похитила миллионы долларов в криптовалютах после создания более 70 поддельных доменов и выдачи себя за банки и венчурные фирмы.

По данным расследования, большинство доменов имитировали японские венчурные фирмы, что указывает на большой интерес к данным пользователей и компаний в этой стране.

"Изучив использованную инфраструктуру, мы обнаружили более 70 доменов, используемых этой группой, что означает, что они были очень активны до недавнего времени. Кроме того, они создали множество поддельных доменов, похожих на домены венчурных и банковских компаний."

Группа Bluenoroff усовершенствовала свои методы заражения

Еще несколько месяцев назад группа BlueNoroff использовала документы Word для внедрения вредоносных программ. Однако недавно они усовершенствовали свои методы, создав новый пакетный файл Windows, который позволяет расширить область применения и режим выполнения их вредоносного ПО.

Эти новые файлы .bat обходят меры безопасности Windows Mark-of-the-Web (MOTW) - скрытую метку, прикрепляемую к файлам, загружаемым из Интернета, для защиты пользователей от файлов из ненадежных источников.

После тщательного расследования, проведенного в конце сентября, "Касперский" подтвердил, что помимо использования новых скриптов, группа BlueNoroff начала использовать для распространения вирусов файлы образов дисков .iso и .vhd.

Касперский также обнаружил, что пользователь из Объединенных Арабских Эмиратов стал жертвой группы BlueNoroff после загрузки документа Word под названием "Shamjit Client Details Form.doc", который позволил хакерам подключиться к его компьютеру и извлечь информацию при попытке выполнить еще более мощное вредоносное ПО.

Как только хакеры вошли в компьютер, "они попытались снять отпечатки пальцев жертвы и установить дополнительное вредоносное ПО с высокими привилегиями", однако жертва выполнила несколько команд для сбора основной информации о системе, что не позволило вредоносному ПО распространиться еще больше.

Методы взлома становятся все более опасными

Хотите верьте, хотите нет, но сообщается, что Северная Корея лидирует в мире по количеству криптопреступлений. По сообщениям, северокорейские хакеры смогли украсть криптовалюты на сумму более $1 млрд до мая 2022 года. Крупнейшая группа Lazarus была названа ответственной за крупные фишинговые атаки и методы распространения вредоносного ПО.

После кражи более 620 миллионов долларов из Axie Infinity северокорейская хакерская группа Lazarus, одна из крупнейших хакерских групп в мире, собрала достаточно денег, чтобы улучшить свое программное обеспечение до такой степени, что они создали продвинутую криптовалютную схему через домен под названием bloxholder.com, который они использовали в качестве прикрытия для кражи закрытых ключей многих своих "клиентов".

Как сообщает Microsoft, за последние несколько лет участились атаки, направленные на криптовалютные организации с целью получения более высокого вознаграждения, поэтому атаки стали более сложными, чем раньше.

Одним из новейших методов, используемых хакерами в группах Telegram, является рассылка зараженных файлов, замаскированных под таблицы Excel, содержащие структуры комиссий биржевых компаний в качестве крючка.

После того как жертвы открывают файлы, они загружают ряд программ, позволяющих хакеру получить удаленный доступ к зараженному устройству, будь то мобильное устройство или ПК.