Cybergang BlueNoroff opróżnia konta startupów zajmujących się kryptowalutą – także w Polsce.
Eksperci z firmy Kaspersky zidentyfikowali serię ataków przeprowadzonych przez zaawansowany cybergang BlueNoroff na małe i średnie firmy, które straciły w ich wyniku kryptowalutę. Cel tej kampanii, określanej jako SnatchCrypto, stanowiły różne firmy, które ze względu na charakter swojej działalności mają do czynienia z kryptowalutami oraz kontraktami inteligentnymi, DeFi, technologią Blockchain oraz branżą FinTech. Gang jest aktywny także w Polsce.
W swojej najnowszej kampanii ugrupowanie BlueNoroff wysyłało pracownikom atakowanych firm wyposażonego w funkcje inwigilacyjne trojana dla systemu Windows zamaskowanego jako „kontrakt” lub inny plik biznesowy. Cyberprzestępcy przygotowali również zasoby, takie jak złożona infrastruktura i szkodliwe narzędzia, które wykorzystali w celu opróżnienia kryptoportfela ofiary.
BlueNoroff należy do większego ugrupowania Lazarus i wykorzystuje jego różnorodną strukturę, jak również wyrafinowane technologie ataków. Lazarus znany jest z ataków na banki i serwery połączone z systemem SWIFT. Gang założył nawet fałszywe firmy zajmujące się rozwojem oprogramowania kryptowaluty. Klienci instalowali aplikacje wyglądające jak legalne narzędzia, a następnie otrzymywali aktualizacje, które zawierały trojany.
Obecnie BlueNoroff stanowi gałąź ugrupowania Lazarus, która atakuje startupy działające w obszarze kryptowaluty. Większość firm zajmujących się kryptowalutą to małe lub średnie startupy, których nie stać na zainwestowanie dużych środków w wewnętrzny system bezpieczeństwa. Cyberprzestępcy gangu Lazarus próbują to wykorzystać, posługując się wyrafinowaną socjotechniką.
Socjotechnika
W celu zdobycia zaufania ofiary cyberprzestępcy podszywają się pod spółkę kapitału podwyższonego ryzyka. W kampanii SnatchCrypto wykorzystano marki oraz nazwiska pracowników ponad 15 takich podmiotów. Badacze z firmy Kaspersky uważają, że firmy, pod które podszywali się cyberprzestępcy, nie mają nic wspólnego z omawianym atakiem ani wiadomościami e-mail. Startupy z branży kryptowaluty znalazły się na celowniku tego ugrupowania nie bez powodu: podmioty tego typu często otrzymują wiadomości lub pliki z nieznanych źródeł. Na przykład spółka kapitału podwyższonego ryzyka może wysłać im kontrakt lub inne pliki biznesowe. BlueNoroff wykorzystuje ten fakt jako przynętę, aby nakłonić potencjalne ofiary do otwarcia załącznika w wiadomości e-mail – dokumentu z obsługą makr.
Gdyby dokument został otwarty offline, plik nie stanowiłby żadnego niebezpieczeństwa – najprawdopodobniej wyglądałby na kopię jakiegoś kontraktu lub innego nieszkodliwego dokumentu. Jeśli jednak w momencie otwarcia pliku komputer jest połączony z internetem, na urządzanie ofiary zostaje pobrany dokument z obsługą makr i instaluje na nim szkodliwe oprogramowanie.
Metodologia
Omawiany cybergang posiada szereg metod w swoim arsenale, które pozwalają mu przygotować łańcuch infekcji w zależności od sytuacji. Poza „uzbrojonymi” dokumentami Worda rozprzestrzenia również szkodliwe oprogramowanie zamaskowane jako skompresowane pliki skrótu Windows. Wysyła ono ogólne informacje dotyczące ofiary i pobiera narzędzia dostosowane do konkretnej ofiary w celu wykonywania wielu szkodliwych operacji, m.in. przechwytywania znaków wprowadzanych z klawiatury i wykonywania zrzutów ekranu.
Następnie atakujący śledzą swoje ofiary przez wiele tygodni, a nawet miesięcy: monitorują codzienne działania użytkownika, planując jednocześnie strategię kradzieży finansowej. Po zidentyfikowaniu znaczącego celu, który wykorzystuje rozszerzenie popularnej przeglądarki w celu zarządzania kryptoportfelami (np. rozszerzenie Metamask), cyberprzestępcy zastępują komponent tego rozszerzenia fałszywą wersją.
Według badaczy przestępcy otrzymują powiadomienie w momencie wykrycia dużych przelewów. Kiedy użytkownik stanowiący cel ataków próbuje przelać środki na inne konto, atakujący przechwytują proces transakcji i wstrzykują własne mechanizmy. W celu zakończenia zainicjowanej płatności użytkownik klika przycisk „Potwierdź”. W tym momencie cyberprzestępcy zmieniają adres odbiorcy i maksymalnie zwiększają kwotę transakcji, a tym samym jednym ruchem opróżniają konto.
Ponieważ cyberprzestępcy nieustannie wymyślają nowe sposoby oszukiwania i okradania użytkowników, również małe firmy powinny zapoznać swoich pracowników z podstawowymi praktykami dotyczącymi cyberbezpieczeństwa. Jest to szczególnie istotne, gdy firma ma do czynienia z kryptoportfelami: nie ma nic złego w korzystaniu z usług i rozszerzeń kryptowaluty, trzeba mieć jednak świadomość, że jest to atrakcyjny cel zaawansowanych cybergangów – powiedział Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.