Un groupe de hackers nord-coréens, connu sous le nom de BlueNoroff, cible les utilisateurs Mac du secteur des cryptomonnaies avec une campagne de phishing sophistiquée, nommée Hidden Risk, dans le but d’infiltrer leurs systèmes et de voler des informations sensibles.
Des attaques de phishing ciblant les entreprises de cryptomonnaies
D’après un rapport de la société de cybersécurité SentinelOne, les hackers nord-coréens du groupe BlueNoroff ciblent désormais les utilisateurs de Mac dans le secteur des cryptomonnaies. Lancée en avril 2023, leur campagne Hidden Risk utilise des emails de phishing contenant des liens vers des applications malveillantes déguisées en documents PDF liés aux cryptomonnaies. Ces emails usurpent l’identité de figures influentes du secteur pour crédibiliser le message et piéger les destinataires. Une fois téléchargée, l’application malveillante installe un programme permettant aux hackers de prendre le contrôle de l’ordinateur infecté, avec accès aux données sensibles de la victime.
Un malware difficile à détecter ciblant macOS
Le malware de Hidden Risk se distingue par sa capacité à contourner les protections de macOS, en exploitant une technique de persistance via le fichier caché .zshenv. Cette méthode permet au programme de rester actif même après redémarrage, tout en esquivant les alertes de sécurité de macOS Ventura. Parallèlement, le malware télécharge un faux PDF pour détourner l’attention de la victime tandis que d’autres fichiers malveillants sont installés en arrière-plan. Autre particularité, les hackers utilisent un identifiant de développeur Apple — depuis révoqué — leur ayant permis de passer outre les protections de macOS.
Des infrastructures sophistiquées pour contourner la sécurité
Pour mener à bien leurs attaques, BlueNoroff s’appuie sur un réseau d’infrastructures sophistiquées. Ils créent des sites web imitant des organisations financières et de cryptomonnaies, et recourent à des services d’enregistrement de domaine et de marketing pour éviter les filtres anti-spam. Ces domaines frauduleux redirigent les victimes vers des sites contrôlés par les hackers. BlueNoroff, capable de renouveler régulièrement des identifiants de développeur Apple, continue à signer son malware et à contourner les mesures de sécurité de macOS, malgré les récents renforcements d’Apple.
Comment se protéger ?
Face à cette menace, les utilisateurs de Mac, notamment ceux impliqués dans le secteur des cryptomonnaies, sont encouragés à prendre des mesures de sécurité. Il est conseillé de limiter les téléchargements d’applications au Mac App Store ou à des sources vérifiées, de maintenir le système macOS à jour, et de renforcer les paramètres de sécurité. Une vigilance accrue est également recommandée face aux messages et applications promettant des gains rapides en cryptomonnaies, souvent utilisés dans ces campagnes de phishing.
