Kaspersky, un laboratorio de ciberseguridad, está dando la alarma sobre las renovadas tácticas de phishing del grupo BlueNoroff. Los piratas informáticos están patrocinados por Corea del Norte, que está motivada financieramente para beneficiarse de sus ataques cibernéticos contra empresas financieras, incluidas las entidades criptográficas.
BlueNoroff ha creado más de 70 dominios falsos que imitan de capital de riesgo empresas y bancos. La mayoría de los impostores se presentaron como conocidas empresas japonesas. Aún así, algunos afirmaron ser de Estados Unidos y Vietnam.
El grupo BlueNoroff a menudo inyecta malware a través de documentos de texto y archivos de acceso directo. Su último malware puede evadir la bandera Mark-of-the-Web (MOTW).
El informe de Kaspersky reveló que el grupo BlueNoroff está experimentando con nuevos tipos de archivos y otros métodos de distribución de malware.
Una vez instalado, su malware pasa por alto las advertencias de seguridad MOTW de Windows sobre la descarga de contenido. Después de eso, el virus intercepta grandes criptomoneda transferencias, cambiando la dirección de la billetera del destinatario y aumentando el monto de la transferencia al límite máximo, vaciando la cuenta en una sola transacción.
Seongsu Park, investigador de Kaspersky, señaló el aumento de los ataques cibernéticos en 2023. Park enfatizó la necesidad de que las empresas estén más seguras que nunca a medida que surgen nuevas campañas maliciosas.
La presión de los piratas informáticos de Corea del Norte sobre la seguridad
El Amenaza norcoreana El actor golpeó por primera vez un banco central de Bangladesh en 2016 y ha estado en el radar de los servicios de seguridad cibernética de los países de los Estados Unidos.
La Oficina Federal de Investigaciones (FBI) de los Estados Unidos, junto con la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), aconsejó a todas las empresas de criptomonedas con sede en Estados Unidos que refuercen su arquitectura de seguridad contra posibles atacantes de piratas informáticos de Corea del Norte.
Un informe de seguridad de fibra de Group-IB recientemente revelado que desde 2017, el grupo Lazarus, patrocinado por el estado, ha robado más de $ 882 millones de intercambios de criptomonedas.
El grupo es supuestamente responsable de la explotación de $600 millones de Ronin Bridge en marzo y recientemente se descubrió que estaba usando más de 500 dominios para intentar el robo de tokens no fungibles (NFT).
Desafortunadamente, los intercambios de criptomonedas no son las únicas víctimas de estos piratas informáticos coreanos. El informe de Group-IB también reveló que más del 10% de los fondos de las campañas de oferta inicial (ICO) habían sido robados desde 2017.
¿Parte de una operación más grande?
La habitación 39, es una organización secreta dentro del gobierno de Corea del Norte que es responsable de generar divisas de fuentes ilegales para el país. Hay evidencia de que está involucrado en una serie de actividades ilegales, incluidas la falsificación y el tráfico de drogas, así como otras empresas ilícitas como la venta de armas y piratería.
Los desertores de Corea del Norte dicen que se opera desde un edificio en la ciudad capital de Pyongyang, y se dice que está dirigido por miembros de la familia Kim, que han tenido el poder en Corea del Norte durante tres generaciones.
La naturaleza exacta y el alcance de las actividades de Room 39 son un misterio, ya que opera en secreto debido a la naturaleza ilegal de las operaciones. Es probable que sea una fuente clave de financiación para la dictadura de Corea del Norte, y se cree que es responsable de generar cientos de millones de dólares en dinero oscuro cada año.
Se cree que la organización tiene amplias conexiones internacionales, y puede exportar mano de obra esclava a las naciones europeas para aprovechar los costos laborales más altos en la UE, en comparación con el este de Asia.
Corea del Norte ha estado durante mucho tiempo bajo sanciones lideradas por Estados Unidos, lo que ejerce presión sobre su acceso a las reservas de divisas. Al tratar con negocios ilegales basados en efectivo, la nación puede acceder a fondos líquidos, lo que puede ser la razón por la cual los piratas informáticos de Corea del Norte están buscando más criptomonedas en este momento.
Otro ajetreo para Corea del Norte
Es imposible saber si Room 39 está detrás de los hackeos en curso, pero Corea del Norte es conocida por negocios turbios que elevan los activos líquidos. Otro negocio ilícito de larga data para Corea del Norte es la fabricación y exportación de metanfetamina, que un desertor de la nación afirma que era hecho bajo las órdenes directas de Kim Jong-il.
La metanfetamina es utilizada ampliamente por la población local. Según algunas estimaciones, hasta la mitad de la población de Corea del Norte usa la droga, que también se exporta en grandes cantidades. Los países vecinos como China son los principales mercados de exportación, pero otras naciones como EE. UU. han interceptado envíos de metanfetamina de Corea del Norte.
Al igual que los hacks criptográficos, los negocios ilegales como la producción de metanfetamina probablemente disfruten del patrocinio estatal de Corea del Norte, lo que hace probable que continúen sin obstáculos.
Fuente: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/