Securitate — January 14, 2022 at 2:01 pm

SnatchCrypto – BlueNoroff golește conturile de criptomonede ale start-up-urilor

by

Experții Kaspersky au descoperit o serie de atacuri de tip amenințări persistente avansate (APT) – initiațe de BlueNoroff, împotriva companiilor mici și mijlocii din întreaga lume, care au dus la pierderi majore de criptomonede pentru victime. Campania, denumită SnatchCrypto, se adresează diferitelor companii care, prin natura muncii lor, se ocupă de criptomonede și contracte inteligente, DeFi, Blockchain și industria FinTech.

În cea mai recentă campanie BlueNoroff, atacatorii au abuzat subtil de încrederea angajaților care lucrează la companiile vizate, trimițându-le un virus de tip backdoor pe Windows cu funcții de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli în cele din urmă portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse și periculoase: infrastructură complexă, exploit-uri, implanturi de malware.
BlueNoroff face parte din organizația Lazarus și folosește structura diversificată și tehnologiile de atac sofisticate ale acesteia. Grupul Lazarus APT este cunoscut pentru atacurile asupra băncilor și serverelor conectate la SWIFT și chiar s-a angajat în crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clienții înșelați au instalat ulterior aplicații cu aspect legitim și, după un timp, au primit actualizări de tip backdoor.
Acum, această „filială” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea business-urilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi mulți bani în sistemul lor de securitate internă. Atacatorii înțeleg acest punct și profită de el, utilizând scheme elaborate de inginerie socială.

Pentru a câștiga încrederea victimei, BlueNoroff pretinde a fi o companie de investiții de capital de risc existentă. Cercetătorii Kaspersky au descoperit peste 15 companii, ale căror nume de brand și nume de angajați au fost abuzate în timpul campaniei SnatchCrypto. Experții Kaspersky cred, de asemenea, că toate companiile reale folosite nu au nimic de-a face cu acest atac sau cu e-mailurile trimise. Sfera start-up-urilor care se ocupă de criptomonede a fost aleasă de infractorii cibernetici dintr-un motiv simplu: asemenea companii primesc frecvent mesaje sau fișiere din surse necunoscute. De exemplu, o companie de investiții le poate trimite un contract sau alte fișiere legate de afaceri. Actorul APT folosește documentele ca momeală pentru a face victimele să deschidă fișierul atașat în e-mail – un document care conține macro-uri.

Un utilizator atent poate observa că se întâmplă ceva neplăcut când MS Word afișează fereastra pop-up standard de încărcare
Un utilizator atent poate observa că se întâmplă ceva neplăcut când MS Word afișează fereastra pop-up standard de încărcare

Dacă documentul ar fi deschis offline, nu ar prezenta niciun pericol – cel mai probabil, ar arăta ca o copie a unui fel de contract sau a unui alt document inofensiv. Dar dacă computerul este conectat la Internet în momentul deschiderii fișierului, un alt document macro-activat este preluat pe dispozitivul victimei, implementând malware.

Acest grup APT are diferite metode în arsenalul său de infecție și asamblează lanțul de infecție în funcție de situație. Pe lângă documentele Word periculoase, actorul răspândește și programe malware deghizate în fișiere pentru shortcuts Windows, arhivate. Trimite informațiile generale ale victimei și către agentul Powershell, care apoi creează un backdoor cu funcții complete. Folosind acest lucru, BlueNoroff implementează alte instrumente rău intenționate pentru a monitoriza victima: un keylogger și unul care realizează capturi de ecran.

Apoi atacatorii urmăresc victimele timp de săptămâni, sau luni: colectează informații despre tastele apăsate de utilizator și monitorizează operațiunile zilnice ale acestuia, în timp ce planifică o strategie pentru furtul financiar. Când găsesc o țintă importantă care utilizează o extensie populară de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), aceștia înlocuiesc componenta principală a extensiei cu o versiune falsă.

Potrivit cercetătorilor, atacatorii primesc o notificare la descoperirea unor transferuri mari. Atunci când utilizatorul compromis încearcă să transfere unele fonduri într-un alt cont, acesta interceptează procesul de tranzacție și injectează propria logică. Pentru a finaliza plata inițiată, utilizatorul face click pe butonul „aprobă”. În acest moment, infractorii cibernetici schimbă adresa destinatarului și maximizează suma tranzacției, adică golesc contul dintr-o singură mișcare.

Grupul este activ în prezent și atacă utilizatorii indiferent de țara din care provin
Grupul este activ în prezent și atacă utilizatorii indiferent de țara din care provin

„Cum atacatorii vin tot timpul cu o mulțime de noi modalități de a păcăli și a frauda, chiar și companiile mici ar trebui să-și educe angajații cu privire la practicile de bază de securitate cibernetică. Este esential, mai ales dacă compania lucrează cu portofele cripto: nu este nimic în neregulă cu utilizarea serviciilor și extensiilor de criptomonede, dar rețineți că acestea sunt o țintă atractivă și pentru APT, și pentru infractorii cibernetici. Prin urmare, acest sector trebuie bine protejat”, spune Seongsu Park, cercetător senior în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.

Citiți raportul complet despre BlueNoroff pe Securelist.

Pentru protecția organizațiilor, Kaspersky sugerează următoarele:
• Furnizați personalului dumneavoastră formare de bază în materie de igienă în domeniul securității cibernetice, deoarece multe atacuri direcționate încep cu phishing sau alte tehnici de inginerie socială;
• Efectuați un audit de securitate cibernetică al rețelelor dumneavoastră și remediați orice deficiențe descoperite în perimetrul sau în interiorul rețelei.
• Injectarea extensiei este greu de găsit manual, cu excepția cazului în care sunteți foarte familiarizat cu baza de cod Metamask. Cu toate acestea, o modificare a extensiei Chrome lasă o urmă. Browserul trebuie să fie comutat în Developer Mode, iar extensia Metamask este instalată dintr-un fișier local în loc de magazinul online. Dacă plug-in-ul provine din magazin, Chrome impune validarea semnăturii digitale pentru cod și garantează integritatea codului. Deci, dacă aveți îndoieli, verificați-vă extensia Metamask și setările Chrome chiar acum.
• Instalați soluții anti-APT și EDR, care permit descoperirea și detectarea amenințărilor, investigarea și remedierea la timp a incidentelor. Oferiți echipei dumneavoastră SOC acces la cele mai recente informații despre amenințări și îmbunătățiți-le în mod regulat cu pregătire profesională. Toate cele de mai sus sunt disponibile în cadrul Kaspersky Expert Security.
• Alături de protecția corespunzătoare la nivel endpoint, serviciile dedicate pot ajuta împotriva atacurilor de profil înalt. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea și oprirea atacurilor în stadiile incipiente, înainte ca atacatorii să-și atingă obiectivele.