Programiści na celowniku hakerów. Branża kryptowalut zagrożona

Analitycy z Unit 42 od Palo Alto Networks już w poprzednim roku informowali o podobnych działaniach cyberprzestępców, które były wymierzone w osoby poszukujące pracy. Wówczas hakerzy podszywali się pod rekruterów. Tym razem badacze odkryli, że złośliwe oprogramowanie o nazwie RustDoor udaje aktualizację aplikacji na macOS.

Choć nie jest jasne, która z północnokoreańskich grup APT stoi za tymi działaniami, zaobserwowane aktywności można powiązać z metodami stosowanymi przez grupy działające na zlecenie Korei Północnej.

Dalsza część artykułu pod materiałem wideo

Atakujący wykorzystali backdoora RustDoor, który wcześniej był przypisywany północnokoreańskiej grupie zagrożeń znanej jako Alluring Pisces. Nie jest jednak pewne, czy to narzędzie jest unikalne dla tej grupy, czy też używają go inne północnokoreańskie grupy APT.

W demaskowaniu działań cyberprzestępców kluczowa jest wiktymologia, czyli zestaw cech charakterystycznych ofiar ataków. Prawidłowe zidentyfikowanie profilu ofiary pozwala szybciej dotrzeć do źródła ataków. Wszystkie ofiary były twórcami oprogramowania w branży kryptowalut, co pokazuje, jakie cele obierają obecnie cyberprzestępcy motywowani finansowo i politycznie – zauważył Wojciech Gołębiowski, wiceprezes i dyrektor zarządzający w Palo Alto Networks w Europie Środkowo-Wschodniej.

Najnowszy atak jest szczególnie niebezpieczny, ponieważ łatwo usypia czujność i wykorzystuje rutynę pracy programistów, aby wprowadzić złośliwe oprogramowanie do ich środowiska pracy. Tym razem cyberprzestępcy zamaskowali swoje działania jako aktualizację VisualStudio – popularnego edytora kodu od Microsoft. Wykorzystanie autorytetu znanej aplikacji pomaga cyberprzestępcom łatwiej skłonić użytkowników do zainstalowania złośliwego oprogramowania pod pozorem aktualizacji.

Koi Stealer, nowy wariant złośliwego oprogramowania, początkowo zbiera informacje rozpoznawcze z zainfekowanego urządzenia, takie jak unikatowy identyfikator sprzętu, informacje o użytkowniku, lista zainstalowanych aplikacji czy lista procesów. Następnie pobiera poufne dane z zaatakowanych urządzeń. Podobnie jak w przypadku wariantu dla systemu Windows, wersja dla macOS koncentruje się głównie na kradzieży portfeli kryptowalut.

Kiedy Koi Stealer działa w tle, gromadzi i wyprowadza dane z komputera na zewnątrz. W tej fazie kopiuje wiele ważnych plików, w tym portfele kryptowalutowe, dane przeglądarek, informacje z OpenVPN czy pliki użytkownika i konfigurację Steam oraz Discord.

Specjaliści z Palo Alto Networks zalecają szczególną ostrożność podczas instalowania aktualizacji systemu oraz zewnętrznych aplikacji. Większą czujność powinno wzbudzić niekontrolowane wyciszenie dźwięków w komputerze, ponieważ złośliwe oprogramowanie wykorzystuje AppleScript do wyciszania głośności systemu, aby ukryć kolejne polecenia, które kopiują wiele plików, co może uruchamiać dźwiękowe powiadomienia.

Ostatnie odkrycia analityków ujawniają niepokojącą eskalację operacji cybernetycznych Korei Północnej, które wykraczają poza tradycyjne cele, takie jak system operacyjny Windows. Najnowsza kampania wymierzona w system macOS jest szczególnie niebezpieczna, ponieważ celuje w twórców oprogramowania w branży kryptowalut, zwiększając ryzyko dla instytucji finansowych i firm technologicznych. Organizacje są zachęcane do proaktywnego i wielowarstwowego podejścia w obliczu takich zagrożeń oraz inwestowania w szkolenia z zakresu inżynierii społecznej. To ważne, zwłaszcza w kontekście rozwijających się modeli językowych, które wspierają cyberprzestępców w tworzeniu przekonujących scenariuszy socjotechnicznych – dodał Wojciech Gołębiowski.

Koi Stealer to nieudokumentowany wcześniej wariant złośliwego oprogramowania, prawdopodobnie wykorzystywany przez cyberprzestępców z Korei Północnej do infekowania systemów macOS. Sprawa jest istotna, ponieważ znaczna liczba programistów korzysta z urządzeń Apple, co zwiększa powierzchnię ataków, które dotychczas dotyczyły głównie użytkowników Windows.

Kampania ta ujawnia ryzyko, na jakie narażone są organizacje na całym świecie w związku z zaawansowanymi atakami socjotechnicznymi mającymi na celu infiltrację sieci, kradzież poufnych danych i kryptowalut. Ryzyko to wzrasta, gdy sprawcą jest podmiot zagrażający państwu narodowemu, w porównaniu do cyberprzestępców motywowanych wyłącznie finansowo.