Hacker Sfruttano Radiant Capital con Malware, $50M Rubati in Colpo Grosso

Un PDF infetto da malware inviato agli ingegneri di Radiant Capital ha permesso a hacker nordcoreani di rubare oltre 50 milioni di dollari.

In un recente rapporto di follow-up sulla violazione, Radiant, assistita da Mandiant, ha rivelato ulteriori dettagli. L’11 settembre 2024, uno sviluppatore di Radiant ha ricevuto un messaggio Telegram da un ex collaboratore impersonato.

Il messaggio, presumibilmente da un ex appaltatore, includeva un link a un PDF zippato. Presumibilmente correlato a un nuovo progetto di audit dei contratti intelligenti, il documento cercava un feedback professionale.

Il dominio associato al file ZIP imitava in modo convincente il sito web legittimo dell’appaltatore, e la richiesta sembrava routine nei circoli professionali. Gli sviluppatori scambiano frequentemente PDF per compiti come revisioni legali o audit tecnici, riducendo i sospetti iniziali.

Fidandosi della fonte, il destinatario ha condiviso il file con i colleghi, preparando involontariamente il terreno per il furto cibernetico.

Senza che il team Radiant ne fosse a conoscenza, il file ZIP conteneva INLETDRIFT, un malware macOS avanzato camuffato all’interno del documento “legittimo”. Una volta attivato, il malware ha stabilito un backdoor persistente, utilizzando un AppleScript malevolo.

Il design del malware era sofisticato, mostrando un convincente PDF agli utenti mentre operava furtivamente in background.

Nonostante le rigorose pratiche di cybersecurity di Radiant – tra cui simulazioni di transazioni, verifica del payload e aderenza alle procedure operative standard del settore (SOPs) – il malware è riuscito a infiltrarsi e compromettere più dispositivi di sviluppo.

Gli aggressori hanno sfruttato la firma cieca e falsificato le interfacce front-end, mostrando dati di transazioni benigne per mascherare attività malevole. Di conseguenza, sono state eseguite transazioni fraudolente senza rilevamento.

In preparazione per la rapina, gli aggressori hanno predisposto contratti intelligenti malevoli su più piattaforme, tra cui Arbitrum, Binance Smart Chain, Base ed Ethereum. Solo tre minuti dopo il furto, hanno cancellato le tracce del loro retrobottega e delle estensioni del browser.

La rapina è stata eseguita con precisione: appena tre minuti dopo aver trasferito i fondi rubati, gli aggressori hanno cancellato le tracce del loro backdoor e delle relative estensioni del browser, complicando ulteriormente l’analisi forense.

Mandiant attribuisce l’attacco a UNC4736, noto anche come AppleJeus o Citrine Sleet, un gruppo collegato al Reconnaissance General Bureau (RGB) della Corea del Nord. Questo incidente evidenzia le vulnerabilità nella firma cieca e nelle verifiche front-end, sottolineando l’urgente necessità di soluzioni hardware per validare i carichi di transazione.

Radiant sta collaborando con le forze dell’ordine statunitensi, Mandiant e zeroShadow per congelare i beni rubati. Il DAO rimane impegnato a sostenere gli sforzi di recupero e a condividere intuizioni per migliorare gli standard di sicurezza su scala industriale.