Grupul BlueNoroff goleşte conturile de criptomonede ale start-up-urilor

0
0
Publicat:
Ultima actualizare:
FOTO Shutterstock

Experţii Kaspersky au descoperit o serie de atacuri de tip ameninţări persistente avansate (APT) – iniţiate de BlueNoroff, împotriva companiilor mici şi mijlocii din intreaga lume, care au dus la pierderi majore de criptomonede pentru victime.

Campania SnatchCrypto se adresează diferitelor companii care, prin natura muncii lor, se ocupă de criptomonede şi contracte inteligente, DeFi, Blockchain şi industria FinTech.

În cea mai recentă campanie BlueNoroff, atacatorii au abuzat subtil de încrederea angajaţilor care lucrează la companiile vizate, trimiţându-le un virus de tip backdoor pe Windows cu funcţii de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli in cele din urma portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse şi periculoase: o infrastructură complexa, exploit-uri, implanturi de malware.

BlueNoroff face parte din organizaţia Lazarus şi foloseste structura diversificata si tehnologiile de atac sofisticate ale acesteia. Grupul Lazarus APT este cunoscut pentru atacurile asupra băncilor şi serverelor conectate la SWIFT şi chiar s-a angajat în crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clienţii înşelaţi au instalat ulterior aplicaţii cu aspect legitim şi, după un timp, au primit actualizari de tip backdoor.

Acum, această „filiala” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea business-urilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi mulţi bani in sistemul lor de securitate internă. Atacatorii înţeleg acest lucru si profită de el, utilizând scheme elaborate de inginerie socială.

Pentru a câştiga încrederea victimei, BlueNoroff pretinde a fi o companie de investiţii de capital de risc. Cercetătorii Kaspersky au descoperit peste 15 companii, ale caror nume de brand şi nume de angajaţi au fost folosite ilegal în timpul campaniei SnatchCrypto. Experţii Kaspersky cred, de asemenea, că toate companiile reale ale căror nume au fost folosite nu au nimic de-a face cu acest atac sau cu e-mailurile trimise. Sfera start-up-urilor care se ocupă de criptomonede a fost aleasă de infractorii cibernetici dintr-un motiv simplu: asemenea companii primesc frecvent mesaje sau fişiere din surse necunoscute. De exemplu, o companie de investiţii le poate trimite un contract sau alte fişiere legate de afaceri. Atacatorii folosesc documentele ca momeală pentru a face victimele sa deschidă fişierul ataşat din e-mail - un document care conţine malware.

Un utilizator atent poate observa că se întâmplă ceva neplăcut când MS Word afişează  fereastra pop-up standard de încărcare.

Dacă documentul ar fi deschis offline, nu ar prezenta niciun pericol - cel mai probabil, ar arăta ca o copie a unui fel de contract sau a unui alt document inofensiv. Dar dacă computerul este conectat la Internet în momentul deschiderii fisierului, un alt document macro-activat este preluat pe dispozitivul victimei, implementând malware.

Acest grup APT are diferite metode în arsenalul său de infecţie şi pregăteşte operaţiunea de infectare în funcţie de situaţie. 

Vezi și:
Arestaţi pentru înşelăciune cu staţii de minat criptomonede. Atenţie de unde cumpăraţi aparatură online!

Pe lângă documentele Word periculoase, BlueNoroff răspândeşte şi programe malware deghizate în fişiere pentru shortcuts Windows, arhivate. Trimite informaţiile generale ale victimei şi către agentul Powershell, care apoi creeaza un backdoor cu funcţii complete. Folosind acest lucru, BlueNoroff implementează alte instrumente rău intenţionate pentru a monitoriza victima: un keylogger şi un program care face capturi de ecran.

Apoi atacatorii urmăresc victimele timp de săptămâni, sau luni: colectează informaţii despre tastele apăsate de utilizator şi monitorizează operaţiunile zilnice ale acestuia, în timp ce planifică o strategie pentru furtul financiar. Când găsesc o ţintă importantă care utilizează o extensie populară de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), aceştia înlocuiesc componenta principală a extensiei cu o versiune falsă.

Potrivit cercetătorilor, atacatorii primesc o notificare la descoperirea unor transferuri mari. Atunci când utilizatorul compromis încearcă sa transfere unele fonduri într-un alt cont, hackerii interceptează procesul de tranzacţie şi schimbă adresa destinatarului maximiziând suma tranzacţiei, adică golesc contul dintr-o singură mişcare.

Mai multe pentru tine:
Top 7 mașini de spălat vase compacte 2026: Ghid expert + oferte eMAG pentru bucătării mici și economie de energie, apă, timp și bani
Cele mai bune 7 cafetiere din 2026 pe eMAG pentru dimineți perfecte cu cafea filtrată: Ghid complet pentru orice buget și necesitate
Top 7 espressoare cu capsule 2026: libertate totală, rapiditate și gust autentic – băuturi perfecte cu un singur buton, acasă
Cea mai bună mașină de spălat vase încorporabilă 2026 – Top 3 recomandări + alternative silențioase, eficiente și smart pentru bucătării moderne
Vacanță ca în filme pentru Corina Caragea. Țara care a lăsat‑o fără cuvinte: „Este de neimaginat”
Cele mai bune mașini de spălat vase independente 2026 – top 7 modele, cu recenzii excelente și preț avantajos. Economisește timp și energie
Transformă-ți cafeaua: Top 7 râșnițe de cafea 2026 – Cum să alegi modelul perfect pentru aromă intensă și prospețime garantată
Prima soție a lui Călin Georgescu rupe tăcerea, după 20 de ani de la divorț. Daniela a avut o căsnicie de calvar. Candidatul la prezidențiale își bătea soția: „Devine periculos să spun ceva”
Daciana Sârbu vorbește deschis despre relația cu Alex Ghionea, iubitul cu 22 de ani mai tânăr: „Mi-am asumat mereu că voi fi judecată” VIDEO
Frumoasa brunetă a pozat GOALĂ. Dakota Johnson, senzațională și senzuală în cea mai recentă campanie Calvin Klein
„Supa penicilină”, preparatul care îți întărește sistemul imunitar. Italienii o adoră!