Le groupe de cyberespionnage nord-coréen BlueNoroff intensifie ses attaques contre le secteur des crypto-monnaies

Le groupe de cyberespionnage lié à l'État nord-coréen BlueNoroff intensifie ses attaques contre le secteur des cryptomonnaies, notamment par le biais d'une campagne de logiciels malveillants axée sur MacOS

Un groupe de cyberespionnage lié à l'État nord-coréen, connu sous le nom de BlueNoroff, a récemment intensifié ses attaques contre le secteur des cryptomonnaies, notamment par le biais d'une campagne de logiciels malveillants axée sur MacOS baptisée « Risque caché ». Cette campagne implique des tactiques de phishing avancées ciblant les utilisateurs de MacOS occupant diverses positions sur les bourses de crypto-monnaie et les plateformes DeFi.

BlueNoroff a commencé à utiliser des e-mails malveillants, prétendant être des mises à jour sur les tendances des cryptomonnaies ou des rapports de recherche, pour transmettre des PDF infectés. Lors du téléchargement de ces fichiers, les victimes déclenchent involontairement une série d'étapes de logiciels malveillants ciblant leurs appareils. L’attrait initial apparaît comme un contenu légitime d’actualités ou de recherche lié à des sujets liés aux crypto-monnaies, incitant les utilisateurs à télécharger une application malveillante qui imite un fichier PDF. Une fois installé, ce malware contourne les contrôles de sécurité intégrés d’Apple, ouvrant secrètement un document leurre tout en intégrant simultanément une porte dérobée sur le système MacOS de la victime.

Le processus en plusieurs étapes du malware permet aux pirates informatiques d'accéder à distance à la machine infectée, leur permettant ainsi de surveiller et de contrôler les activités des utilisateurs et de récupérer des données sensibles, notamment des clés privées pour les portefeuilles numériques, un atout particulièrement précieux pour ceux qui manipulent de gros volumes de cryptomonnaie.

La campagne « Hidden Risk » s’écarte des méthodes traditionnelles de BlueNoroff visant à cibler les victimes via l’engagement sur les réseaux sociaux. Historiquement, les pirates informatiques établissaient la confiance avec les individus grâce à des interactions prolongées sur des plateformes comme LinkedIn ou Twitter, utilisant souvent de faux profils pour paraître crédibles. Dans la campagne actuelle, BlueNoroff opte pour une stratégie de phishing directe. Le groupe déploie désormais des e-mails qui apparaissent comme des mises à jour urgentes du marché ou des résultats de recherche exclusifs sur des sujets tels que « Risque caché derrière la nouvelle flambée du prix du Bitcoin » ou « Altcoin Saison 2.0 – Les joyaux cachés à surveiller. »

Les attaquants se font souvent passer pour des personnalités ou des chercheurs connus de l’industrie de la cryptographie, en utilisant les noms de vrais professionnels dans des domaines non liés pour convaincre davantage les destinataires de l’authenticité des e-mails. Par exemple, un e-mail de phishing citait un article de recherche d'un universitaire de l'Université du Texas intitulé « Bitcoin ETF : opportunités et risques », augmentant la probabilité que les destinataires interagissent avec le contenu de l'e-mail.

L'un des aspects les plus préoccupants du malware « Hidden Risk » réside dans ses techniques d'évasion avancées. Le malware est signé avec de véritables identifiants de développeur Apple, ce qui lui permet de contourner le mécanisme de sécurité Gatekeeper d’Apple, une fonctionnalité destinée à bloquer les logiciels non fiables. De plus, il exploite une fonctionnalité rarement exploitée du système macOS, en modifiant le fichier de configuration « zshenv » pour maintenir la persistance. Cette technique évite de déclencher les notifications d’alerte en arrière-plan d’Apple, ce qui rend le malware difficile à détecter et à supprimer par les utilisateurs.

Les recherches de SentinelLabs ont également révélé que les pirates informatiques pourraient potentiellement acquérir ou détourner des comptes de développeurs Apple valides, leur permettant ainsi de contourner à plusieurs reprises les fonctionnalités de sécurité de macOS. Ce développement constitue une menace de sécurité importante pour le secteur, d'autant plus que de nombreux utilisateurs des secteurs de la cryptographie et de la finance s'appuient de plus en plus sur macOS pour leurs opérations quotidiennes.

Pour renforcer sa crédibilité, BlueNoroff a créé un vaste réseau d'infrastructures qui imite les fournisseurs légitimes de cryptomonnaies et de services financiers. Les domaines liés à des plateformes telles que les sociétés Web3 et DeFi ont été enregistrés auprès de bureaux d'enregistrement de domaines réputés, notamment Namecheap. Les pirates utilisent également des outils de marketing automatisés pour contourner les filtres anti-spam, garantissant ainsi que les e-mails de phishing atteignent leurs cibles. Parmi les fournisseurs d'hébergement impliqués figurent Quickpacket, Routerhosting et Hostwinds, que BlueNoroff exploite pour héberger son infrastructure malveillante.

États-Unis les autorités ont pris note des cyberactivités nord-coréennes ciblant l’industrie de la cryptographie. Le Federal Bureau of Investigation a émis des avis aux sociétés de cryptographie, les avertissant de la menace croissante posée par des groupes soutenus par la Corée du Nord comme BlueNoroff. Dans un récent bulletin, le FBI a noté une augmentation des stratagèmes de phishing ciblant les travailleurs des plateformes DeFi, où les pirates utilisent des offres d'emploi lucratives ou des opportunités d'investissement pour inciter les victimes à télécharger des logiciels malveillants.

L’évolution continue de BlueNoroff en matière de cyber-tactiques met en évidence un risque croissant pour le secteur des crypto-monnaies. Le passage d’engagements complexes sur les réseaux sociaux aux e-mails de phishing directs représente une réponse adaptative à la sensibilisation à la cybersécurité et aux précédentes mesures répressives des forces de l’ordre. En capitalisant sur les vulnérabilités de MacOS et en détournant les identifiants valides des développeurs, les acteurs nord-coréens de la menace ont affiné leur capacité à infiltrer les appareils et à extraire des données financières sensibles avec une détection minimale.

Les experts en cybersécurité recommandent aux entreprises de cryptographie et aux particuliers du secteur de renforcer leurs protocoles de sécurité. Des étapes telles que l’examen des pièces jointes inattendues, la surveillance des modifications non autorisées dans les fichiers système et la mise à jour rapide de macOS peuvent atténuer certaines de ces menaces. Les entreprises sont également encouragées à mener régulièrement des audits de sécurité et à former leurs équipes à l'identification des stratagèmes de phishing. Alors que BlueNoroff continue de se concentrer sur le secteur de la cryptographie, des pratiques de cybersécurité robustes sont essentielles pour protéger les actifs numériques contre les cybermenaces de plus en plus avancées.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!