Kaspersky avverte: Hacker nordcoreani usano i profili dei capitalisti crypto per un nuovo attacco di phishing
BlueNoroff, una cellula del gruppo Lazarus, gli hacker sostenuti dal governo della Corea del Nord, finge di essere dei finanziatori crypto in cerca di startup in cui investire. Ma si tratta solo di un altro tentativo di phishing.
Lo segnala un nuovo report della compagnia di cybersicurezza Kaspersky: BlueNoroff ha creato oltre 70 domini fasulli che simulano compagnie di investimento e banche. La maggior parte delle imprese di capitali di rischio si presenta come note compagnie giapponesi, altre invece sono contraffazioni di siti di compagnie statunitensi o vietnamite.
Questi finti investitori prendono di mira le startup crypto che operano con smart contract, DeFi, blockchain e in generale col settore FinTech sfruttando un nuovo modo per diffondere malware.
Kaspersky ha messo in guardia dicendo che BlueNoroff si serve di software per bypassare la tecnologia Mark-of-the-Web (MOTW), che permette l’apertura di un pop-up di Windows ogni volta che un utente cerca di aprire un file scaricato da internet.
Con un comunicato stampa, la compagnia ha spiegato:
“I criminali hanno usato tecniche di phishing per cercare di infettare le compagnie prese di mira e quindi hanno intercettato una grossa mole di trasferimenti di criptovalute, modificando l’indirizzo di destinazione e forzando il trasferimento fino al massimo possibile, di fatto prosciugando il conto con una sola transazione.”
Il nome BlueNoroff è stato coniato per la prima volta da Kaspersky già nel 2016 quando i ricercatori stavano indagando le cause del noto attacco alla Banca Centrale del Bangladesh.
Kaspersky ha notato che un cittadino degli Emirati, responsabile delle firme dei contratti al dipartimento vendite, era caduto vittima del gruppo BlueNoroff dopo aver scaricato un documento Word denominato “Shamjit Client Details Form.doc” che aveva permesso agli hacker di collegarsi al suo computer ed estrapolare informazioni che gli avevano permesso di lanciare un attacco malware ben più potente.
Gli hacker della Corea del Nord, si stima abbiano rubato 1,5 trilioni di won (1,13 miliardi di euro) in asset crypto dal 2017. Più della metà di questa somma, cioè circa 800 miliardi di won (più di 750 milioni di euro), sono stati rubati quest’anno.
Secondo la principale agenzia investigativa sudcoreana, il Servizio di Intelligence Nazionale, la Corea del Nord usa questi asset crypto rubati per finanziare il programma nucleare e supportare la fragile economia che negli ultimi anni continua a retrocedere per colpa delle sanzioni delle Nazioni Unite e la pandemia di COVID-19.
Seongsu Park, a capo della ricerca per la sicurezza di Kaspersky, il dipartimento Global Research and Analysis Team (GReAT), ha dichiarato che gli hacker nordcoreani incrementeranno le attività criminali nel 2023. Ha detto:
“Secondo le nostre previsioni per il 2023, il prossimo anno sarà segnato da epidemie informatiche di grande impatto di una forza mai vista prima.”
___
Leggi anche:
- Hacker nordcoreani creano un exchange crypto falso e infestato da trojan
- La Corea del Nord ha lanciato su Telegram un clone del wallet Mycelium infestato da virus
- Gruppo nordcoreano Lazarus responsabile del Roning Hack
Segui Cryptonews Italia sui canali social
