Криптовалютные стартапы по всему миру становятся жертвами кибергруппы BlueNoroff, которая похищает их цифровые активы. Об этом ForkLog сообщили эксперты «Лаборатории Касперского».
По их данным, BlueNoroff рассылает письма якобы от существующих венчурных компаний в качестве приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов.
Исследователи обнаружили, что хакеры неправомерно использовали торговые марки и имена сотрудников более 15 венчурных организаций. Эксперты уверены, что реальные компании не имеют никакого отношения ни к атакам, ни к электронным письмам.
"Если устройство не подключено к интернету, документ с поддержкой макросов не представляет опасности. В противном случае он загрузит на устройство жертвы другой документ, развертывающий вредоносное ПО", – объяснили в «Лаборатории Касперского».
Помимо зараженных документов Word злоумышленники распространяют вредоносы в архивных файлах с ярлыками Windows. Они позволяют в дальнейшем создать полнофункциональный бэкдор. Для наблюдения за жертвой BlueNoroff использует клавиатурных шпионов и программы для снятия скриншотов.
"Обнаружив подходящую потенциальную жертву, которая использует популярное браузерное расширение для управления криптокошельками например, Metamask, они подменяют его фейковой версией", – уточнили исследователи.
Злоумышленники также получают уведомление о крупных переводах и в момент осуществления транзакции перехватывают ее, изменяя адрес получателя и увеличивая сумму перевода до максимума.
BlueNoroff входит в состав северокорейской группировки Lazarus и использует ее диверсифицированную структуру и продвинутые технологии, чтобы атаковать пользователей в разных странах.
Для защиты от хакеров специалисты «Лаборатория Касперского» рекомендуют проводить регулярный аудит сетей, использовать актуальные решения для защиты от сложных атак и обучать сотрудников азам кибербезопасности.
Напомним, по данным Chainalysis, в 2021 году хакеры из КНДР похитили $400 млн в криптовалютах.
