هجمات البرمجيات الخبيثة الكورية الشمالية تستهدف مستخدمي ماك في صناعة العملات الرقمية

تسلط تقرير جديد بواسطة شركة SentinelOne الأمنية الإلكترونية الضوء على موجة من الهجمات المتقدمة بالبرامج الخبيثة التي تستهدف شركات العملات المشفرة، بشكل خاص تلك التي تستخدم أجهزة macOS.

وقد تم نسب الهجمات إلى القراصنة الكوريين الشماليين المرتبطين بمجموعة “BlueNoroff”، حيث يستخدمون رسائل البريد الإلكتروني المغرية والروابط المضللة لاختراق أنظمة الشركات وسرقة الأموال.

ربطت الأدلة التقنية الحملة بـ BlueNoroff، وهي مجموعة فرعية تم تحديدها مؤخرًا من قبل وزارة الخزانة الأمريكية كجزء من مجموعة لازاروس، وهي أشهر مجموعة قرصنة تدعمها الحكومة في كوريا الشمالية، كما لاحظته The Record.

بدأت حملة BlueNoroff، المعروفة باسم “Hidden Risk”، وفقًا للتقارير في أبريل 2023 وتستخدم تحديثات أخبار العملات المشفرة المزيفة لجذب الضحايا.

تتنكر التطبيقات الخبيثة على هيئة مستندات PDF لخداع المستخدمين لتحميل البرامج الخبيثة. تظهر هذه رسائل الاحتيال البريدية غالبًا كأنها من مصادر موثوقة في صناعة العملات المشفرة، وتحتوي على روابط لـ “تقارير” تقوم بدلاً من ذلك بتثبيت تطبيق البرامج الخبيثة.

تتم صياغة عناوين مثل “المخاطر المخفية وراء الارتفاع الجديد في سعر البيتكوين” لتبدو موثوقة، خداعة المستخدمين لفتح الملفات.

يسلط تقرير SentinelOne الضوء على تكتيك مبتكر داخل الحملة: استخدام ملف “zshenv”، وهو ملف نظام macOS مخفي، للحفاظ على استمرارية البرمجية الخبيثة. يسمح هذا الأسلوب للبرمجية الخبيثة بتجنب الكشف عنها عن طريق عدم تفعيل التنبيهات الأمنية النمطية لنظام macOS.

بمجرد تضمينها، تقوم البرمجية الخبيثة بتثبيت باب خلفي، مما يتيح للمهاجمين التحكم عن بُعد في الأجهزة المُصابة، وتنفيذ الأوامر، وجني البيانات.

تتماشى هذه الحملة مع الاهتمام طويل الأمد لكوريا الشمالية بالعملات المشفرة كمصدر للتمويل. في سبتمبر 2024، أصدر مكتب التحقيقات الفدرالي تحذيرات حول هجمات القراصنة الكوريين الشماليين على منصات التمويل المُنَظَّم (DeFi) وشركات العملات المشفرة من خلال الصيد الاحتيالي.

تؤكد حملة “المخاطر المخفية” على تقنيات الفريق المتطورة، خاصة في استهداف ضعف نظام التشغيل macOS.

تُسلط نتائج SentinelOne الضوء على أهمية الحذر في صناعة العملات الرقمية. يوصي خبراء الأمن بأن تعزز الشركات بروتوكولاتها الأمنية، وتوعي موظفيها بالتهديدات المتعلقة بالاحتيال الإلكتروني، وتتحلى بالحذر عند التعامل مع رسائل البريد الإلكتروني أو التطبيقات غير المتوقعة.