search feed
Banner Pubblicitario Animato

Una campagna di furto di criptovalute legata alla Corea del Nord che in origine aveva come obiettivo vittime sudcoreane si sta ora espandendo ad altre regioni, tra cui il Regno Unito e probabilmente Stati Uniti.

L’analisi forense digitale dimostra che il malware utilizzato dall’actor nordcoreano in questa campagna può violare i dispositivi Android , ma potenzialmente anche iPhone e altri dispositivi basati su iOS .

Il 5 settembre, il Mobile Research Team di McAfee ha avvisato che il malware nordcoreano SpyAgent si stava diffondendo sui dispositivi Android.

Seguendo le tendenze nordcoreane, questa nuova campagna di malware prende di mira anche i wallet delle criptovalute delle vittime.

I ricercatori di McAfee, che sono riusciti ad accedere ad un server di command e control C2 “non protetto” controllato dagli autori della minaccia , hanno trovato prove che il malware sta prendendo di mira o prenderà di mira gli ambienti iOS.

McAfee scopre il C2 di SpyAgent operativo 

Banner Pubblicitario
Pannello di controllo amministrativo C2 di SpyAgent che elenca telefoni e dati violati, tra cui un dispositivo iPhone con sistema operativo iOS.
Quello che vedete è il Pannello di controllo C2 dell’Admin di SpyAgent che elenca telefoni e dati violati, tra cui un dispositivo iPhone con iOS.
Ma vediamo bene com’è strutturato SpyAgent, è dotato di alcune innovazioni:

Può scansionare e trovare su uno smartphone le “chiavi mnemoniche” che gli utenti solitamente memorizzano in formato immagine. Le chiavi mnemoniche, note anche come frasi di recupero o frasi di backup, vengono utilizzate per proteggere e accedere nei wallet di criptovaluta in caso di perdita delle chiavi.

A differenza di altri furti di criptovalute e attacchi informatici nordcoreani noti, questo malware può diffondersi molto rapidamente perché prende il controllo dello smartphone della vittima e può usarlo per inviare SMS di phishing convincenti (“smishing”).

Questo attacco si differenzia dagli altri riconducibili alle unità hacker di Kim Jong UN perché si tratta di uno spyware  molto efficace.

SpyAgent ha iniziato la sua vita in Corea del Sud in siti web e app dannose come queste:

SpyAgent ha mosso i primi passi in Corea del Sud con questo tipo di siti web e app falsi.

L’FBI afferma che la Corea del Nord si sta preparando per un attacco all’industria delle criptovalute

CISA e FBI hanno emesso un avviso per i dipendenti di (“DeFi”).  hanno rilevato che gli attori della minaccia nordcoreana stavano conducendo ricerche sul settore e sulla comunità, raccogliendo dati.

Secondo l’FBI, ciò significa che la Corea del Nord è pronta a lanciare una sofisticata campagna di phishing contro il settore blockchain e delle criptovalute.

È interessante notare che, come già accennato, il malware SpyAgent è uno spyware che, oltre a svuotare i wallet di criptovalute, può raccogliere molte informazioni che possono essere utilizzate in seguito per mettere in atto truffe di social engineering contro le vittime.

L’ossessione nordcoreana per le criptovalute è ben documentata ed è solo agli inizi. Secondo le Nazioni Unite, gruppi criminali come Lazarus hanno inviato al governo nordcoreano più di 3 miliardi di dollari.

Questi fondi, ottenuti illegalmente sopratutto tramite i furti di criptovalute, vengono utilizzati dalla Corea del Nord per finanziare programmi militari e governativi sanzionati tralatro a livello internazionale, tra cui lo sviluppo di armi di distruzione di massa e di missili interbalistici.

Banner Pubblicitario

L’FBI-CISA ha emesso un nuovo avviso sugli hacker nordcoreani.

L'FBI-CISA ha emesso un nuovo avviso sugli hacker nordcoreani.

Molti di questi hacker di questa organizzazione criminale  hanno in realtà sede in Cina, Malesia o persino in paesi africani e, quindi, sono, di fatto, piuttosto in sintonia con le comunicazioni esterne, lo spazio informativo, le abitudini e i livelli di protezione informatica.

Dalla recente analisi del CISA e dell’FBI si evince che il crescente livello di sofisticatezza delle capacità e delle risorse in possesso degli attori della minaccia nordcoreana.

Inoltre, le operazioni dei criminali informatici  nordcoreani stanno aumentando e le loro capacità, e ogni iterazione diventa più pericolosa.

Le spie nordcoreane potrebbero usare con altrettanta facilità risorse occidentali come qualsiasi altra intelligence. Inoltre, non sorprendetevi se saranno sempre più strettamente integrate in campagne condotte in collaborazione con altri paesi come Russia, Cina o Iran”.

La capacità del malware con funzioni di spionaggio su larga scala

280 siti e app falsi, la codifica sofisticata del malware e una possibile versione iOS estremamente difficile da realizzare, combinati con la capacità di accesso tramite SMS: tutte le prove suggeriscono che questa campagna è pronta a crescere e può crescere a livello globale e persistere.

Nel suo rapporto originale, McAfee aveva avvertito che il malware si stava adattando e avrebbe potuto diffondersi nel Regno Unito

L’attacco nel Regno Unito indica un tentativo deliberato da parte degli aggressori di ampliare le loro operazioni, probabilmente mirando a nuovi gruppi di utenti con versioni localizzate del malware,

Ha affermato la nota casa di antivirus.

Si tratta di una classica tecnica di attacco in tre fasi che combina lo smishing, link inviati tramite SMS che reindirizzano gli utenti a siti dannosi e, tramite malware trojan, inducono le vittime a scaricare app da canali non ufficiali.

Per rendere il tutto più convincente, gli hacker nordcoreani stanno diffondendo app false che impersonano servizi governativi, prestiti di denaro e persino necrologi.

Qui di seguito estrazione di seed trovati nei server degli aggressori. McAfee ha avuto accesso a questa immagine tramite un server non protetto controllato dal C2 dell’aggressore.

Estrazione di seed trovati nei server degli aggressori. McAfee ha avuto accesso a questa immagine tramite un server non protetto controllato dal C2 dell'aggressore.

Una volta installato, questo malware non ha pietà. Raccoglie e invia segretamente i tuoi messaggi di testo, i tuoi contatti e tutte le immagini archiviate a un server controllato dagli aggressori. Mentre il malware fa questo, mette in scena una distrazione per la vittima, esponendo schermate di caricamento infinite, reindirizzamenti inaspettati o brevi schermate vuote.

La conclusione

SpyAgent è l’ultimo malware proveniente dalla Corea del Nord. Sovrascritto in anni di esperienza nell’hacking di blockchain-crypto, le unità informatiche del paese dimostrano di stare portando le cose ad un livello successivo. La sofisticatezza di SpyAgent e le sue capacità, nonostante il fatto che il server C2 sia stato lasciato senza protezione, rivelano un doppio movente.

La Corea del Nord non è alla ricerca solo di criptovalute, ma praticamente tutto ciò che si trova sul telefono di una vittima. Considerando che gli smartphone sono un tesoro di dati in tempi attuali, un malware che può estrarre automaticamente tutta questa intelligence in blocco con un’operazione su larga scala è molto preoccupante.

Seguici anche su:

@INSTAGRAM https://www.instagram.com/hackerpunk2019/

@LINKEDIN https://www.linkedin.com/mwlite/in/fernandoc-364ab419a

@FACEBOOK https://www.facebook.com/hackerpunk19202

@EBOOK

https://amzn.eu/d/6dcujGr

@EBOOK (English version)

https://amzn.eu/d/0yu1ldv

@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ

 

 

 

 

 

 

Banner Pubblicitario Animato

Di HPadmin