Gli hacker nordcoreani prendono di mira un enorme scambio di criptovalute: i fondi degli utenti sono al sicuro?

Gli hacker nordcoreani stanno tentando di attirare esperti di criptovaluta tramite offerte di lavoro fasulle per la piattaforma di scambio di criptovalute Coinbase.

Come riportato da Bleeping Computer , è stata scoperta una campagna orchestrata dal noto gruppo di hacking nordcoreano Lazarus, e il suo obiettivo sono quelli coinvolti nel sempre più popolare settore fintech (tecnologia finanziaria).

Una rappresentazione di un hacker che entra in un sistema tramite l'uso del codice.
Getty Images

In quello che è chiaramente parte di un attacco di ingegneria sociale, il gruppo di hacker intraprende una conversazione con gli obiettivi tramite LinkedIn, che alla fine culmina in un’offerta di lavoro presentata alla potenziale vittima.

Coinbase è una delle principali società di scambio di criptovalute, quindi, al valore nominale, molti che non sono a conoscenza dell’attacco saranno naturalmente interessati ad aggiungerle ai loro curriculum. Tuttavia, se l’attacco dovesse avere successo, le conseguenze potrebbero portare al sequestro e al furto di quantità incalcolabili di portafogli crittografici.

Hossein Jazi, che lavora come ricercatore di sicurezza presso la società di sicurezza Internet Malwarebytes e analizza Lazarus da febbraio 2022, ha affermato che le persone della cybergang si travestono da dipendenti di Coinbase. La truffa attira potenziali vittime avvicinandole per ricoprire il ruolo di “Responsabile tecnico, sicurezza del prodotto”.

Se quell’individuo cade per la falsa offerta di lavoro, alla fine riceverà istruzioni per scaricare un PDF che spieghi il lavoro per intero. Tuttavia, il file stesso è in realtà un eseguibile dannoso che utilizza un’icona PDF per ingannare le persone.

Il file stesso si chiama “Coinbase_online_careers_2022_07.exe”, che sembra abbastanza innocente se non lo sapessi meglio. Ma mentre apre un documento PDF falso creato dagli attori delle minacce, carica anche codici DLL dannosi sul sistema di destinazione.

Una falsa offerta di lavoro per Coinbase sotto forma di PDF.
Bleeping Computer/@h2jazi

Dopo essere stato implementato con successo nel sistema, il malware utilizzerà GitHub come centro di comando centrale per ricevere i comandi, dopodiché avrà libero sfogo per eseguire attacchi ai dispositivi che sono stati violati.

I servizi di intelligence statunitensi hanno precedentemente emesso avvisi sull’attività di Lazarus nell’emissione di portafogli di criptovaluta e app di investimento infettati da trojan, consentendo loro di rubare chiavi private.

E gli sforzi del gruppo sono stati redditizi, per non dire altro: l’FBI ha scoperto di aver rubato criptovaluta per un valore di oltre $ 617 milioni all’epoca.

Questo particolare attacco, che è collegato a un gioco basato su blockchain, si è materializzato a causa di un altro file PDF ingannevole, che è stato inviato come offerta di lavoro a uno degli ingegneri della blockchain. Una volta che il file è stato aperto, il sistema dell’individuo è stato infettato, aprendo successivamente la strada a Lazarus per individuare una falla di sicurezza e trarne vantaggio in grande stile.

In ogni caso, la prospettiva è spaventosa: l’apertura di un singolo file PDF porta alla compromissione dell’intera rete. Nel caso di Coinbase, che gestisce miliardi di dollari in transazioni crittografiche, si può solo immaginare quali sarebbero i risultati e le ramificazioni finanziarie se Lazarus riuscisse davvero a trovare una via d’ingresso.

Per il momento, se sei contattato da Coinbase a qualsiasi titolo, potrebbe essere una buona idea essere cauti nell’aprire qualsiasi file.