Una campagna di furto di criptovalute legata alla Corea del Nord che in origine aveva come obiettivo vittime sudcoreane si sta ora espandendo ad altre regioni, tra cui il Regno Unito e probabilmente Stati Uniti.
L’analisi forense digitale dimostra che il malware utilizzato dall’actor nordcoreano in questa campagna può violare i dispositivi Android , ma potenzialmente anche iPhone e altri dispositivi basati su iOS .
Il 5 settembre, il Mobile Research Team di McAfee ha avvisato che il malware nordcoreano SpyAgent si stava diffondendo sui dispositivi Android.
Seguendo le tendenze nordcoreane, questa nuova campagna di malware prende di mira anche i wallet delle criptovalute delle vittime.
I ricercatori di McAfee, che sono riusciti ad accedere ad un server di command e control C2 “non protetto” controllato dagli autori della minaccia , hanno trovato prove che il malware sta prendendo di mira o prenderà di mira gli ambienti iOS.
McAfee scopre il C2 di SpyAgent operativo
Banner Pubblicitario
Può scansionare e trovare su uno smartphone le “chiavi mnemoniche” che gli utenti solitamente memorizzano in formato immagine. Le chiavi mnemoniche, note anche come frasi di recupero o frasi di backup, vengono utilizzate per proteggere e accedere nei wallet di criptovaluta in caso di perdita delle chiavi.
A differenza di altri furti di criptovalute e attacchi informatici nordcoreani noti, questo malware può diffondersi molto rapidamente perché prende il controllo dello smartphone della vittima e può usarlo per inviare SMS di phishing convincenti (“smishing”).
Questo attacco si differenzia dagli altri riconducibili alle unità hacker di Kim JongUN perché si tratta di uno spyware molto efficace.
SpyAgent ha iniziato la sua vita in Corea del Sud in siti web e app dannose come queste:
L’FBI afferma che la Corea del Nord si sta preparando per un attacco all’industria delle criptovalute
CISA e FBI hanno emesso un avviso per i dipendenti di (“DeFi”). hanno rilevato che gli attori della minaccia nordcoreana stavano conducendo ricerche sul settore e sulla comunità, raccogliendo dati.
Secondo l’FBI, ciò significa che la Corea del Nord è pronta a lanciare una sofisticata campagna di phishing contro il settore blockchain e delle criptovalute.
È interessante notare che, come già accennato, il malware SpyAgent è uno spyware che, oltre a svuotare i wallet di criptovalute, può raccogliere molte informazioni che possono essere utilizzate in seguito per mettere in atto truffe di social engineering contro le vittime.
L’ossessione nordcoreana per le criptovalute è ben documentata ed è solo agli inizi. Secondo le Nazioni Unite, gruppi criminali come Lazarus hanno inviato al governo nordcoreano più di 3 miliardi di dollari.
Questi fondi, ottenuti illegalmente sopratutto tramite i furti di criptovalute, vengono utilizzati dalla Corea del Nord per finanziare programmi militari e governativi sanzionati tralatro a livello internazionale, tra cui lo sviluppo di armi di distruzione di massa e di missili interbalistici.
Banner Pubblicitario
L’FBI-CISA ha emesso un nuovo avviso sugli hacker nordcoreani.
Molti di questi hacker di questa organizzazione criminale hanno in realtà sede in Cina, Malesia o persino in paesi africani e, quindi, sono, di fatto, piuttosto in sintonia con le comunicazioni esterne, lo spazio informativo, le abitudini e i livelli di protezione informatica.
Dalla recente analisi del CISA e dell’FBI si evince che il crescente livello di sofisticatezza delle capacità e delle risorse in possesso degli attori della minaccia nordcoreana.
Inoltre, le operazioni dei criminali informatici nordcoreani stanno aumentando e le loro capacità, e ogni iterazione diventa più pericolosa.
Le spie nordcoreane potrebbero usare con altrettanta facilità risorse occidentali come qualsiasi altra intelligence. Inoltre, non sorprendetevi se saranno sempre più strettamente integrate in campagne condotte in collaborazione con altri paesi come Russia, Cina o Iran”.
La capacità del malware con funzioni di spionaggio su larga scala
280 siti e app falsi, la codifica sofisticata del malware e una possibile versione iOS estremamente difficile da realizzare, combinati con la capacità di accesso tramite SMS: tutte le prove suggeriscono che questa campagna è pronta a crescere e può crescere a livello globale e persistere.
Nel suo rapporto originale, McAfee aveva avvertito che il malware si stava adattando e avrebbe potuto diffondersi nel Regno Unito
L’attacco nel Regno Unito indica un tentativo deliberato da parte degli aggressori di ampliare le loro operazioni, probabilmente mirando a nuovi gruppi di utenti con versioni localizzate del malware,
Ha affermato la nota casa di antivirus.
Si tratta di una classica tecnica di attacco in tre fasi che combina lo smishing, link inviati tramite SMS che reindirizzano gli utenti a siti dannosi e, tramite malware trojan, inducono le vittime a scaricare app da canali non ufficiali.
Per rendere il tutto più convincente, gli hacker nordcoreani stanno diffondendo app false che impersonano servizi governativi, prestiti di denaro e persino necrologi.
Qui di seguito estrazione di seed trovati nei server degli aggressori. McAfee ha avuto accesso a questa immagine tramite un server non protetto controllato dal C2 dell’aggressore.
Una volta installato, questo malware non ha pietà. Raccoglie e invia segretamente i tuoi messaggi di testo, i tuoi contatti e tutte le immagini archiviate a un server controllato dagli aggressori. Mentre il malware fa questo, mette in scena una distrazione per la vittima, esponendo schermate di caricamento infinite, reindirizzamenti inaspettati o brevi schermate vuote.
La conclusione
SpyAgent è l’ultimo malware proveniente dalla Corea del Nord. Sovrascritto in anni di esperienza nell’hacking di blockchain-crypto, le unità informatiche del paese dimostrano di stare portando le cose ad un livello successivo. La sofisticatezza di SpyAgent e le sue capacità, nonostante il fatto che il server C2 sia stato lasciato senza protezione, rivelano un doppio movente.
La Corea del Nord non è alla ricerca solo di criptovalute, ma praticamente tutto ciò che si trova sul telefono di una vittima. Considerando che gli smartphone sono un tesoro di dati in tempi attuali, un malware che può estrarre automaticamente tutta questa intelligence in blocco con un’operazione su larga scala è molto preoccupante.