Hackerii Exploatează Capitalul Radiant cu Malware, $50M Furați într-un Jaf

Image by Freepik

Hackerii Exploatează Capitalul Radiant cu Malware, $50M Furați într-un Jaf

Timp de citire: 3 min

Un PDF infectat cu malware trimis inginerilor de la Radiant Capital a permis hackerilor nord-coreeni să fure peste 50 de milioane de dolari.

Grăbiți? Iată principalele informații!

  • Radiant Capital a suferit o pierdere de 50 de milioane de dolari în urma unui atac cibernetic pe 16 octombrie 2024.
  • Atacatorii s-au dat drept un fost contractant, distribuind malware prin intermediul unui mesaj falsificat pe Telegram.
  • Malware-ul a permis tranzacții malițioase în timp ce afișa date inofensive în interfețele front-end ale Radiant.

Într-un raport de urmărire recent asupra breșei, Radiant, asistată de Mandiant, a dezvăluit detalii suplimentare. Pe 11 septembrie 2024, un dezvoltator Radiant a primit un mesaj pe Telegram de la un fost contractant impersonat.

Mesajul, presupus a fi de la un fost contractant, includea un link către un PDF comprimat. Pretins a fi legat de un nou proiect de auditare a contractelor inteligente, documentul solicita feedback profesional.

Domeniul asociat cu fișierul ZIP imita convingător site-ul legitim al contractantului, iar cererea părea rutină în cercurile profesionale. Dezvoltatorii schimbă frecvent PDF-uri pentru sarcini precum recenzii juridice sau audituri tehnice, reducând suspiciunile inițiale.

Încredințându-se de sursă, destinatarul a împărtășit fișierul cu colegii, pregătind neintenționat scena pentru furtul cibernetic.

Fără ca echipa Radiant să știe, fișierul ZIP conținea INLETDRIFT, un malware macOS avansat, camuflat în interiorul documentului „legitim”. Odată activat, malware-ul a stabilit un backdoor persistent, folosind un AppleScript rău intenționat.

Designul malware-ului a fost sofisticat, afișând utilizatorilor un PDF convingător, în timp ce opera discret în fundal.

În ciuda practicilor riguroase de securitate cibernetică ale Radiant – incluzând simulări de tranzacții, verificarea sarcinii utile și respectarea procedurilor de operare standard (SOPs) specifice industriei – malware-ul a reușit să infiltreze și să compromită mai multe dispozitive de dezvoltare.

Atacatorii au exploatat semnarea oarbă și au falsificat interfețele front-end, afișând date de tranzacții inofensive pentru a masca activitățile malefice. Ca rezultat, tranzacțiile frauduloase au fost executate fără a fi detectate.

În pregătirea jafului, atacatorii au pregătit contracte inteligente rău-intenționate pe mai multe platforme, inclusiv Arbitrum, Binance Smart Chain, Base și Ethereum. La doar trei minute după furt, aceștia au șters urmele ușilor lor secrete și ale extensiilor de browser.

Jaful a fost executat cu precizie: doar trei minute după transferarea fondurilor furate, atacatorii au șters urmele backdoor-ului lor și extensiilor de browser asociate, complicând și mai mult analiza forenzsică.

Mandiant atribuie atacul grupului UNC4736, cunoscut și sub numele de AppleJeus sau Citrine Sleet, un grup legat de Biroul General de Recunoaștere (RGB) al Coreei de Nord. Acest incident evidențiază vulnerabilitățile în semnarea oarbă și verificările de la nivelul front-end-ului, subliniind necesitatea urgentă a soluțiilor la nivel de hardware pentru a valida sarcinile de lucru ale tranzacțiilor.

Radiant colaborează cu forțele de ordine din SUA, Mandiant și zeroShadow pentru a îngheța activele furate. DAO rămâne angajat în sprijinirea eforturilor de recuperare și în împărtășirea perspectivelor pentru a îmbunătăți standardele de securitate la nivel de industrie.

V-a plăcut acest articol?
Acordați-i o notă!
Nu mi-a plăcut deloc Nu prea mi-a plăcut A fost ok Destul de bun! Mi-a plăcut mult!

Ne bucurăm că ți-a plăcut munca noastră!

Pentru că prețuim părerea ta, ne-ai putea lăsa o recenzie pe Trustpilot? Durează doar un moment și face o mare diferență pentru noi. Îți mulțumim pentru sprijin!

Oferă-ne o notă pe Trustpilot
5.00 Votat de 1 utilizatori
Titlu
Comentariu
Vă mulțumim pentru feedback
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Lasă un comentariu

Loader
Loader Mai mult...