Grupul BlueNoroff goleşte conturile de criptomonede ale start-up-urilor

FOTO Shutterstock

Experţii Kaspersky au descoperit o serie de atacuri de tip ameninţări persistente avansate (APT) – iniţiate de BlueNoroff, împotriva companiilor mici şi mijlocii din intreaga lume, care au dus la pierderi majore de criptomonede pentru victime.

Campania SnatchCrypto se adresează diferitelor companii care, prin natura muncii lor, se ocupă de criptomonede şi contracte inteligente, DeFi, Blockchain şi industria FinTech.

În cea mai recentă campanie BlueNoroff, atacatorii au abuzat subtil de încrederea angajaţilor care lucrează la companiile vizate, trimiţându-le un virus de tip backdoor pe Windows cu funcţii de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli in cele din urma portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse şi periculoase: o infrastructură complexa, exploit-uri, implanturi de malware.

BlueNoroff face parte din organizaţia Lazarus şi foloseste structura diversificata si tehnologiile de atac sofisticate ale acesteia. Grupul Lazarus APT este cunoscut pentru atacurile asupra băncilor şi serverelor conectate la SWIFT şi chiar s-a angajat în crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clienţii înşelaţi au instalat ulterior aplicaţii cu aspect legitim şi, după un timp, au primit actualizari de tip backdoor.

Acum, această „filiala” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea business-urilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi mulţi bani in sistemul lor de securitate internă. Atacatorii înţeleg acest lucru si profită de el, utilizând scheme elaborate de inginerie socială.

Pentru a câştiga încrederea victimei, BlueNoroff pretinde a fi o companie de investiţii de capital de risc. Cercetătorii Kaspersky au descoperit peste 15 companii, ale caror nume de brand şi nume de angajaţi au fost folosite ilegal în timpul campaniei SnatchCrypto. Experţii Kaspersky cred, de asemenea, că toate companiile reale ale căror nume au fost folosite nu au nimic de-a face cu acest atac sau cu e-mailurile trimise. Sfera start-up-urilor care se ocupă de criptomonede a fost aleasă de infractorii cibernetici dintr-un motiv simplu: asemenea companii primesc frecvent mesaje sau fişiere din surse necunoscute. De exemplu, o companie de investiţii le poate trimite un contract sau alte fişiere legate de afaceri. Atacatorii folosesc documentele ca momeală pentru a face victimele sa deschidă fişierul ataşat din e-mail - un document care conţine malware.

Un utilizator atent poate observa că se întâmplă ceva neplăcut când MS Word afişează  fereastra pop-up standard de încărcare.

Dacă documentul ar fi deschis offline, nu ar prezenta niciun pericol - cel mai probabil, ar arăta ca o copie a unui fel de contract sau a unui alt document inofensiv. Dar dacă computerul este conectat la Internet în momentul deschiderii fisierului, un alt document macro-activat este preluat pe dispozitivul victimei, implementând malware.

Acest grup APT are diferite metode în arsenalul său de infecţie şi pregăteşte operaţiunea de infectare în funcţie de situaţie. 

Pe lângă documentele Word periculoase, BlueNoroff răspândeşte şi programe malware deghizate în fişiere pentru shortcuts Windows, arhivate. Trimite informaţiile generale ale victimei şi către agentul Powershell, care apoi creeaza un backdoor cu funcţii complete. Folosind acest lucru, BlueNoroff implementează alte instrumente rău intenţionate pentru a monitoriza victima: un keylogger şi un program care face capturi de ecran.

Apoi atacatorii urmăresc victimele timp de săptămâni, sau luni: colectează informaţii despre tastele apăsate de utilizator şi monitorizează operaţiunile zilnice ale acestuia, în timp ce planifică o strategie pentru furtul financiar. Când găsesc o ţintă importantă care utilizează o extensie populară de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), aceştia înlocuiesc componenta principală a extensiei cu o versiune falsă.

Potrivit cercetătorilor, atacatorii primesc o notificare la descoperirea unor transferuri mari. Atunci când utilizatorul compromis încearcă sa transfere unele fonduri într-un alt cont, hackerii interceptează procesul de tranzacţie şi schimbă adresa destinatarului maximiziând suma tranzacţiei, adică golesc contul dintr-o singură mişcare.