Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.
BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».
Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.
Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.
L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .
La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».
cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.
BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.
Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.