Grupul BlueNoroff goleşte conturile de criptomonede ale start-up-urilor

0
0
Publicat:
Ultima actualizare:
FOTO Shutterstock

Experţii Kaspersky au descoperit o serie de atacuri de tip ameninţări persistente avansate (APT) – iniţiate de BlueNoroff, împotriva companiilor mici şi mijlocii din intreaga lume, care au dus la pierderi majore de criptomonede pentru victime.

Campania SnatchCrypto se adresează diferitelor companii care, prin natura muncii lor, se ocupă de criptomonede şi contracte inteligente, DeFi, Blockchain şi industria FinTech.

În cea mai recentă campanie BlueNoroff, atacatorii au abuzat subtil de încrederea angajaţilor care lucrează la companiile vizate, trimiţându-le un virus de tip backdoor pe Windows cu funcţii de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli in cele din urma portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse şi periculoase: o infrastructură complexa, exploit-uri, implanturi de malware.

BlueNoroff face parte din organizaţia Lazarus şi foloseste structura diversificata si tehnologiile de atac sofisticate ale acesteia. Grupul Lazarus APT este cunoscut pentru atacurile asupra băncilor şi serverelor conectate la SWIFT şi chiar s-a angajat în crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clienţii înşelaţi au instalat ulterior aplicaţii cu aspect legitim şi, după un timp, au primit actualizari de tip backdoor.

Acum, această „filiala” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea business-urilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi mulţi bani in sistemul lor de securitate internă. Atacatorii înţeleg acest lucru si profită de el, utilizând scheme elaborate de inginerie socială.

Pentru a câştiga încrederea victimei, BlueNoroff pretinde a fi o companie de investiţii de capital de risc. Cercetătorii Kaspersky au descoperit peste 15 companii, ale caror nume de brand şi nume de angajaţi au fost folosite ilegal în timpul campaniei SnatchCrypto. Experţii Kaspersky cred, de asemenea, că toate companiile reale ale căror nume au fost folosite nu au nimic de-a face cu acest atac sau cu e-mailurile trimise. Sfera start-up-urilor care se ocupă de criptomonede a fost aleasă de infractorii cibernetici dintr-un motiv simplu: asemenea companii primesc frecvent mesaje sau fişiere din surse necunoscute. De exemplu, o companie de investiţii le poate trimite un contract sau alte fişiere legate de afaceri. Atacatorii folosesc documentele ca momeală pentru a face victimele sa deschidă fişierul ataşat din e-mail - un document care conţine malware.

Un utilizator atent poate observa că se întâmplă ceva neplăcut când MS Word afişează  fereastra pop-up standard de încărcare.

Dacă documentul ar fi deschis offline, nu ar prezenta niciun pericol - cel mai probabil, ar arăta ca o copie a unui fel de contract sau a unui alt document inofensiv. Dar dacă computerul este conectat la Internet în momentul deschiderii fisierului, un alt document macro-activat este preluat pe dispozitivul victimei, implementând malware.

Acest grup APT are diferite metode în arsenalul său de infecţie şi pregăteşte operaţiunea de infectare în funcţie de situaţie. 

Vezi și:
Arestaţi pentru înşelăciune cu staţii de minat criptomonede. Atenţie de unde cumpăraţi aparatură online!

Pe lângă documentele Word periculoase, BlueNoroff răspândeşte şi programe malware deghizate în fişiere pentru shortcuts Windows, arhivate. Trimite informaţiile generale ale victimei şi către agentul Powershell, care apoi creeaza un backdoor cu funcţii complete. Folosind acest lucru, BlueNoroff implementează alte instrumente rău intenţionate pentru a monitoriza victima: un keylogger şi un program care face capturi de ecran.

Apoi atacatorii urmăresc victimele timp de săptămâni, sau luni: colectează informaţii despre tastele apăsate de utilizator şi monitorizează operaţiunile zilnice ale acestuia, în timp ce planifică o strategie pentru furtul financiar. Când găsesc o ţintă importantă care utilizează o extensie populară de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), aceştia înlocuiesc componenta principală a extensiei cu o versiune falsă.

Potrivit cercetătorilor, atacatorii primesc o notificare la descoperirea unor transferuri mari. Atunci când utilizatorul compromis încearcă sa transfere unele fonduri într-un alt cont, hackerii interceptează procesul de tranzacţie şi schimbă adresa destinatarului maximiziând suma tranzacţiei, adică golesc contul dintr-o singură mişcare.

Mai multe pentru tine:
Cerceii candelabru cu care a apărut Prințesa Catherine sunt spectaculoși. Ce poveste emoționantă se ascunde în spatele lor
Seturi cadou pentru femei care transformă sărbătorile în experiențe de răsfăț și lux – oferte eMAG de neratat, pentru orice buget
Theo Rose, invitată de soacră la un restaurant cu stele Michelin din Paris. Combinația alimentară modestă care a impresionat-o: „Ca la mama lui”
Top 15 băuturi pentru Sărbători 2025–2026: vinuri medaliate cu aur, ediții rare de colecție și reduceri uriașe de până la 8.500 lei
Angela Similea, prea „îmbătrânită”, la 79 de ani? Stilistul Florin Burescu le dă peste nas cârcotașilor: „O adevărată doamnă, fără operații estetice”. Dieta artistei „Epocii de Aur”
Loviți de cancer, Meme și Teodora Stoica au găsit o metodă prin care celule canceroase sunt mâncate
Top 15 coșuri cadou de sărbători în 2025-2026: cele mai bune recomandări, reduceri și idei premium de neratat
Descoperire fantastică. Organul care produce aproape toată serotonina din corp. Nu e creierul. Din cauza asta ne îmbolnăvim de anxietate și depresie
Cele mai căutate cadouri pentru copii și adolescenți în 2025: Roblox, Minecraft, jocuri STEAM, Kendama și LOL
Cadoul ideal pentru bărbați: cele mai bune ceasuri de Crăciun la prețuri Chillmas Deals cu reduceri de până la 92%
A Diamond Is Forever: colecția Primul diamant TEILOR — bijuterii luxury de la 500 lei pentru cadouri care spun povești