Snatch that crypto : le groupe de cybercriminels BlueNoroff vole les crypto-monnaies des startups

0

Les experts de Kaspersky ont découvert une série d’attaques menées par le groupe de menaces persistantes avancées (APT) BlueNoroff contre des petites et moyennes entreprises du monde entier, entraînant des pertes importantes de crypto-monnaies pour les victimes. La campagne, baptisée SnatchCrypto, vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la DeFi, la blockchain et l’industrie FinTech.

Dans la campagne la plus récente de BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une backdoor Windows complète avec des fonctions de surveillance sous la forme d’un « contrat » ou d’un autre fichier commercial. Afin de vider les portefeuilles de crypto-monnaies de ses victimes, le groupe a développé des ressources étendues et dangereuses : infrastructures complexes, exploits, implants de logiciels malveillants.

BlueNoroff fait partie du groupe Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe APT Lazarus est connu pour ses attaques contre des banques et des serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients escroqués installaient ensuite des applications d’apparence légitime et, après un certain temps, recevaient des mises à jour dissimulant des backdoors.

Cette « branche » de Lazarus est passée à l’attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d’ingénierie sociale élaborés.

Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises de capital-risque, dont la marque et les noms des employés ont été utilisés de manière abusive pendant la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les entreprises réelles n’ont rien à voir avec cette attaque ou les e-mails. La sphère des start-ups crypto a été choisie par les cybercriminels pour une raison précise : les start-ups reçoivent souvent des lettres ou des fichiers provenant de sources inconnues. Par exemple, une société à capital-risque peut leur envoyer un contrat ou d’autres fichiers liés aux affaires. L’organisation APT s’en sert comme appât pour inciter les victimes à ouvrir la pièce jointe de l’e-mail – un document contenant des macros.

Un utilisateur attentif peut se rendre compte que quelque chose de louche se passe alors que MS Word affiche une fenêtre popup de chargement standard.

Si le document devait être ouvert hors ligne, le fichier ne représenterait rien de dangereux – il ressemblerait très probablement à la copie d’un contrat ou d’un autre document inoffensif. Mais si l’ordinateur est connecté à Internet au moment de l’ouverture du fichier, un autre document activé par une macro est récupéré sur l’appareil de la victime, déployant ainsi un malware.

Ce groupe APT dispose de plusieurs méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word piégés, l’acteur diffuse également des logiciels malveillants déguisés en raccourcis Windows zippés. Il envoie les informations générales de la victime et l’agent Powershell, qui crée ensuite une porte dérobée complète. À l’aide de celle-ci, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe (keylogger) et un logiciel de capture d’écran.

Ensuite, les attaquants suivent les victimes pendant des semaines et des mois : ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l’utilisateur, tout en planifiant une stratégie de vol financier. Ayant trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles de crypto-monnaies (par exemple, l’extension Metamask), ils remplacent le composant principal de l’extension par une fausse version.

Selon les chercheurs, les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, ils interceptent le processus de transaction et injectent leur propre logiciel. Pour terminer le paiement initié, l’utilisateur clique ensuite sur le bouton « approuver ». À ce moment-là, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, vidant ainsi le compte en un seul geste.

Le groupe est actuellement actif et attaque les utilisateurs quel que soit leur pays d’origine.

« Comme les attaquants trouvent sans cesse de nouveaux moyens de tromper et de détourner, même les petites entreprises devraient former leurs employés aux pratiques de base en matière de cybersécurité. C’est particulièrement essentiel si l’entreprise travaille avec des portefeuilles de crypto-monnaies : il n’y a rien de mal à utiliser des services et des extensions de crypto-monnaies, mais notez que c’est aussi une cible attrayante pour les groupes APT et les cybercriminels. Par conséquent, ce secteur doit être bien protégé », commente Seongsu Park, senior security researcher, Kaspersky’s Global Research and Analysis Team (GReAT) de Kaspersky.

Lisez le rapport complet sur BlueNoroff sur Securelist.

Pour la protection des organisations, Kaspersky suggère les mesures suivantes :

  • Offrez à votre personnel une formation de base sur les principes d’hygiène en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale ;
  • Réalisez un audit de cybersécurité de vos réseaux et remédiez à toutes les faiblesses découvertes dans le périmètre ou à l’intérieur du réseau.
  • L’injection de l’extension est difficile à trouver manuellement, sauf si vous êtes très familier avec la base de code de Metamask. Cependant, une modification de l’extension Chrome laisse une trace. Le navigateur doit passer en mode développeur et l’extension Metamask est installée depuis un répertoire local au lieu du store en ligne. Si l’extension provient de ce dernier, Chrome applique la validation de la signature numérique pour le code et garantit son intégrité. Donc, si vous avez un doute, vérifiez dès maintenant votre extension Metamask et les paramètres de Chrome.
  • Installez des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l’investigation et la remédiation rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et proposez-lui régulièrement des formations professionnelles.
  • En plus d’une protection appropriée des terminaux, des solutions dédiées peuvent vous aider à lutter contre les attaques de grande envergure.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici

Notifiez-moi des commentaires à venir via e-mail. Vous pouvez aussi vous abonner sans commenter.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.