کمیته رکن چهارم – یک حمله سایبری پیچیده توسط گروه BlueNoroff که به کره شمالی نسبت داده میشود، کارمند یکی از بنیادهای مرتبط با رمزارز را هدف قرار داده است. این حمله در تاریخ ۱۹ ژوئن ۲۰۲۵ میلادی گزارش شده است و شامل جعل تماس Zoom و نصب بدافزار بر روی macOS بود.
به گزارش کمیته رکن چهارم، مهاجمان با استفاده از پیامرسان تلگرام و ارائه لینکی تقلبی برای جلسه Zoom، قربانی را فریب دادهاند. جلسه شامل شخصیتهایی جعلی از مدیران شرکت بوده که با deepfake تولید شده بودند. پس از ایجاد مشکل صوتی ساختگی، از قربانی خواسته شد افزونهای را نصب کند که درواقع حاوی بدافزار بود.
این بدافزار، از طریق اسکریپت AppleScript نصب شده و بهصورت پنهانی دادهها را منتقل میکرد، دستورات را حذف و فایل اجرایی مخربی به سیستم تزریق مینمود. بدافزار همچنین از کاربر رمز عبور سیستم را درخواست کرده و به ابزارهای رمزنگاری و ارتباطی دسترسی پیدا کرده است.
شرکت امنیتی Huntress هشت فایل مخرب شناسایی کرده که شامل کیلاگر، بکدورها و ابزارهای سرقت اطلاعات رمزارزی است. این بدافزارها با زبانهایی مانند Go، Nim و Objective-C توسعه یافتهاند.
گروه BlueNoroff که با نامهای APT38 و TA444 نیز شناخته میشود، پیشتر مسئول حملاتی مانند Axie Infinity و Bybit بوده و تمرکز آن بر سرقت داراییهای دیجیتال برای تأمین مالی دولت کره شمالی است.
تحقیقات جدید نشان میدهد این گروه اکنون به دو شاخه TraderTraitor و CryptoCore تقسیم شده و روشهای حمله آنها با فریبهای صوتی و استفاده از برندهای جعلی مانند Coinbase و Uniswap توسعه یافته است. نسخههای جدید بدافزار مانند PylangGhost امکان سرقت اطلاعات مرورگر و کنترل کامل دستگاه را دارند.
