BlueNoroff охотится за криптовалютой

Наши эксперты тщательно исследовали вредоносную кампанию, нацеленную на организации, работающие с криптовалютами, смарт-контрактами, децентрализованными финансами, блокчейном. То есть в целом злоумышленники интересуются финтех-отраслью. По ряду признаков данная кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая, в частности, стояла за атакой на центральный банк Бангладеш в 2016 году.

Цели кампании SnatchCrypto

Люди, стоящие за этой кампанией, пытаются решить две задачи — это сбор информации и непосредственно кража криптовалют. Из информации их в первую очередь интересуют учетные записи пользователей, IP-адреса, информация о сессиях, а также конфигурационные файлы от программ, непосредственно работающих с криптовалютой (они могут содержать учетные данные и другую информацию об аккаунтах). Злоумышленники тщательно изучают жертв, иногда мониторя их активность месяцами.

Один из используемых преступниками методов связан с популярными браузерными расширениями для управления криптокошельками. Они меняют в настройках источник расширения с официального веб-магазина на локальное хранилище и таким образом замещают его собственной версией программы, используя ее для мониторинга транзакций. При помощи расширения Metamask для Chrome они также умеют подменять логику транзакций, причем этот метод позволяет похитить средства из кошелька, даже если пользователь применяет аппаратный кошелек для подписи переводов криптовалюты.

Как группировка BlueNoroff проникает в сеть жертвы

Злоумышленники тщательно изучают деятельность намеченной жертвы и применяют полученные знания в атаках при помощи социальной инженерии. Как правило, они имитируют письма от существующих венчурных компаний, помещая в качестве аттачмента документ с поддержкой макросов, открытие которого в итоге приводит к загрузке бэкдора. Подробную информацию о технических деталях атаки и уловках злоумышленников можно найти в посте на сайте Securelist.

Как защититься от атак SnatchCrypto

Один из явных признаков деятельности SnatchCrypto — использование модифицированного расширения Metamask. Для того чтобы применять его, злоумышленникам приходится переводить браузер в режим разработчика и устанавливать расширение Metamask из локального каталога, а не из онлайн-репозитория. Это легко проверить самостоятельно: если режим переключен без вашего ведома, а расширение подгружено из локального каталога, значит, дело нечисто.

Кроме того, не следует пренебрегать стандартными защитными мерами:

• Обучать сотрудников основам кибербезопасности.
• Своевременно обновлять критически важные приложения (в том числе ОС и офисный пакет).
• Снабжать любой компьютер, имеющий выход в Интернет надежным защитным решением.
• По возможности использовать EDR-решение которое позволит выявлять сложные угрозы, а также облегчит расследование и реагирование на киберинциденты.