BlueNoroff: Täuschung durch Deepfake-Scams im Kryptobereich

LONDON (IT BOLTWISE) – Ein neuer Cyberangriff der berüchtigten BlueNoroff-Gruppe, einer Untergruppe der Lazarus Group, zeigt die zunehmende Raffinesse von Bedrohungsakteuren, die sich auf die Kryptoindustrie konzentrieren. Diese Gruppe, die mit Nordkorea in Verbindung steht, nutzt Deepfake-Technologie, um Mitarbeiter im Web3-Sektor zu täuschen und Malware auf deren macOS-Geräten zu installieren.

Die Bedrohungsakteure von BlueNoroff haben sich auf einen Mitarbeiter einer Kryptowährungsstiftung konzentriert und dabei eine raffinierte Kombination aus Social Engineering und Deepfake-Technologie eingesetzt. Der Angriff begann mit einer Nachricht über Telegram, in der ein Gespräch angefragt wurde. Ein Link zu einem gefälschten Zoom-Meeting wurde bereitgestellt, der den Mitarbeiter auf eine von den Angreifern kontrollierte Domain umleitete.

In einem simulierten Zoom-Meeting wurden Deepfakes von Führungskräften des Unternehmens eingesetzt, um den Mitarbeiter zu überzeugen, eine vermeintliche Zoom-Erweiterung herunterzuladen. Diese Erweiterung war in Wirklichkeit ein AppleScript, das eine Hintertür auf dem macOS-Gerät des Opfers installierte. Das Skript deaktivierte die Bash-Historie und installierte Rosetta 2, falls es nicht vorhanden war, um die Kompatibilität mit Apple Silicon zu gewährleisten.

Die Malware, die als “zoom_sdk_support.scpt” getarnt war, lud weitere bösartige Payloads von einer gefälschten Zoom-Domain herunter. Diese Payloads umfassten unter anderem einen Keylogger und einen Informationsdieb, der auf Kryptowährungsdateien abzielte. Die Untersuchung von Huntress ergab, dass acht verschiedene bösartige Binärdateien auf dem infizierten System gefunden wurden, darunter ein Go-basierter Backdoor und ein Objective-C-Keylogger.

BlueNoroff, auch bekannt als Alluring Pisces oder APT38, ist bekannt für seine Angriffe auf Finanzinstitute und Kryptowährungsunternehmen. Die Gruppe hat in der Vergangenheit bedeutende Krypto-Diebstähle durchgeführt, darunter die Hacks von Bybit und Axie Infinity. Diese Angriffe dienen dazu, finanzielle Mittel für die Demokratische Volksrepublik Korea zu beschaffen.

Die Bedrohung durch BlueNoroff zeigt die Notwendigkeit, Mitarbeiter im Umgang mit Social Engineering und Cyberangriffen zu schulen. Besonders in der Kryptoindustrie, die ein bevorzugtes Ziel für solche Angriffe darstellt, ist Wachsamkeit geboten. Die Verwendung von Deepfake-Technologie in Kombination mit bekannten Plattformen wie Zoom zeigt die zunehmende Komplexität und Raffinesse dieser Bedrohungen.

Die Evolution der Angriffe von BlueNoroff spiegelt sich auch in der Verwendung von ClickFake-Interviews wider, bei denen gefälschte Stellenanzeigen genutzt werden, um Bewerber zur Ausführung bösartiger Befehle zu verleiten. Diese Angriffe zielen auf Windows- und MacOS-Systeme ab, wobei Linux-Nutzer bisher verschont blieben. Die Bedrohungsakteure nutzen sowohl Python- als auch Golang-basierte Versionen ihrer Malware, um eine breite Palette von Systemen zu infizieren.

Die Sicherheitsforscher betonen die Bedeutung von Schulungen und Sicherheitsmaßnahmen, um solche Angriffe zu verhindern. Unternehmen sollten ihre Mitarbeiter regelmäßig über die neuesten Bedrohungen informieren und sicherstellen, dass ihre Systeme gegen die neuesten Angriffsvektoren geschützt sind.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!