La société mondiale de solutions de cybersécurité Kaspersky a découvert que l’acteur de la menace persistante avancée (APT) BlueNoroff avait effacé les crypto-monnaies dans une campagne désormais connue sous le nom de SnatchCrypto. Les attaques visent les petites entreprises qui traitent des crypto-monnaies et des contrats intelligents, la finance décentralisée (DeFi), la Blockchain et l’industrie FinTech.

Sur la base des recherches de Kaspersky, BlueNoroff, considéré comme la branche financière du groupe plus important et bien connu Lazarus, envoie une porte dérobée Windows complète avec des fonctions de surveillance sous le couvert d’un « contrat » ​​ou d’un autre fichier commercial aux employés sans méfiance des petites entreprises. . L’acteur APT a construit une infrastructure complexe qui lui permettrait de lancer des exploits et d’exécuter des implants de logiciels malveillants.

« Alors que les attaquants proposent continuellement de nombreuses nouvelles façons de tromper et d’abuser, même les petites entreprises devraient éduquer leurs employés sur les pratiques de base en matière de cybersécurité », a déclaré Seongsu Park, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky. «C’est particulièrement essentiel si l’entreprise travaille avec des portefeuilles cryptographiques: il n’y a rien de mal à utiliser des services et des extensions de crypto-monnaie, mais notez que c’est aussi une cible attrayante pour APT et les cybercriminels. Par conséquent, ce secteur doit être bien protégé.

Les attaques cryptographiques et NFT façonneront le paysage des cybermenaces SEA en 2022 — Kaspersky
Kaspersky révèle que le logiciel espion FinFisher échappe efficacement à la détection

Fidèle à ses attaques « de niche » sur le secteur financier, cette branche de Lazarus vise ses attaques sur les startups de crypto-monnaie. Kaspersky a déclaré que la plupart des startups, étant de petites entreprises, ne disposent pas d’une solide défense en matière de cybersécurité, car leurs ressources sont affectées à la construction de leurs entreprises. En pleine connaissance de cette faiblesse, BlueNoroff a eu recours à « des tactiques d’ingénierie sociale élaborées ».

BlueNoroff a infecté une banque au Myanmar au cours du troisième trimestre 2019. (En savoir plus sur BlueNoroff ici.)

Entreprise de risques capitaux

Et comment piquer l’intérêt d’une startup sinon se faire passer pour une grande société de capital-risque ? Les chercheurs de Kaspersky ont découvert plus de 15 entreprises à risque, dont les noms de marque et les noms d’employés ont été abusés lors de la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les vraies entreprises n’ont rien à voir avec cette attaque ou les e-mails. La sphère cryptographique des startups a été choisie par les cybercriminels pour une raison : les startups reçoivent souvent des lettres ou des fichiers de sources inconnues. Par exemple, une société à risque peut leur envoyer un contrat ou d’autres fichiers liés à l’entreprise. L’acteur APT l’utilise comme appât pour inciter les victimes à ouvrir la pièce jointe dans un e-mail – un document prenant en charge les macros.

Ce groupe APT dispose de diverses méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word militarisés, l’acteur diffuse également des logiciels malveillants déguisés en fichiers de raccourcis Windows compressés. Il envoie les informations générales de la victime et l’agent Powershell, qui crée ensuite une porte dérobée complète. Grâce à cela, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe et un preneur de capture d’écran.

Selon les chercheurs, les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, il intercepte le processus de transaction et injecte sa propre logique. Pour terminer le paiement initié, l’utilisateur clique alors sur le bouton « approuver ». En ce moment, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, vidant essentiellement le compte en un seul geste.

Pour la protection des organisations, Kaspersky suggère ce qui suit :

• Offrez à votre personnel une formation de base à l’hygiène en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale.
• Réalisez un audit de cybersécurité de vos réseaux et remédiez aux éventuelles faiblesses découvertes dans le périmètre ou à l’intérieur du réseau.
• L’injection de l’extension est difficile à trouver manuellement à moins que vous ne soyez très familier avec la base de code Metamask. Cependant, une modification de l’extension Chrome laisse une trace. Le navigateur doit être basculé en mode développeur et l’extension Metamask est installée à partir d’un répertoire local au lieu de la boutique en ligne. Si le plug-in provient du magasin, Chrome applique la validation de la signature numérique pour le code et garantit l’intégrité du code. Donc, si vous avez des doutes, vérifiez votre extension Metamask et les paramètres de Chrome dès maintenant.
• Installez des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l’investigation et la résolution rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et améliorez-les régulièrement grâce à une formation professionnelle. Tout ce qui précède est disponible dans le cadre de Kaspersky Expert Security.
• Outre une protection adéquate des terminaux, des services dédiés peuvent aider à lutter contre les attaques de grande envergure. Le service Kaspersky Managed Detection and Response peut aider à identifier et arrêter les attaques à leurs débuts avant que les attaquants n’atteignent leurs objectifs.

Histoires liées