BlueNoroff опустошает счета криптовалютных стартапов

Эксперты «Лаборатории Касперского» раскрыли серию атак кибергруппы BlueNoroff на малый и средний бизнес по всему миру.

BlueNoroff опустошает счета криптовалютных стартапов

Эти активности, получившие название SnatchCrypto, нацелены на организации, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi (децентрализованные финансы), блокчейном и финтех-индустрией.

BlueNoroff входит в состав более крупной группы, Lazarus, и использует её диверсифицированную структуру и продвинутые технологии. Сейчас BlueNoroff сконцентрировалась на атаках на криптовалютные стартапы. Большинство таких компаний не могут позволить себе крупные инвестиции в систему безопасности. Злоумышленники знают об этом и применяют в атаках на стартапы сложные схемы социальной инженерии.

Хакеры рассылают письма якобы от существующих венчурных компаний в качестве приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Исследователи «Лаборатории Касперского» обнаружили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных организаций. Эксперты уверены, что реальные компании не имеют никакого отношения ни к атакам, ни к электронным письмам.

Задержание хакеров REvil не отразиться на работе российских компаний

Открывая документ MS Word, внимательный пользователь может заметить, что происходит что-то подозрительное. Если документ с поддержкой макросов открывается на устройстве, не подключённом к интернету, он не представляет опасности. Скорее всего, он будет выглядеть как договор или другой безобидный документ. Но если в момент запуска файла компьютер подключён к интернету, то на устройство жертвы загружается другой документ с поддержкой макросов, развёртывающий вредоносное ПО.

В арсенале BlueNoroff есть различные методы заражения, которыми злоумышленники пользуются в зависимости от ситуации. Кроме заражённых документов Word группа также распространяет вредоносное ПО в архивных файлах с ярлыками Windows. Оно позволяет в дальнейшем создать полнофункциональный бэкдор. После этого BlueNoroff развёртывает другие вредоносные инструменты для наблюдения: клавиатурный шпион и программу для снятия скриншотов.

Затем злоумышленники неделями или месяцами отслеживают нажатия клавиш и ежедневные действия пользователя, планируя стратегию кражи денег. Обнаружив подходящую потенциальную жертву, которая использует популярное браузерное расширение для управления криптокошельками (например, Metamask), они подменяют основной компонент расширения фейковой версией.

Хакеры из UniCC «уходят на пенсию», заработав более 350 млн. долл США

Когда скомпрометированный пользователь пытается перевести деньги на другой счёт, они перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент атакующие меняют адрес получателя и увеличивают сумму перевода до максимума, фактически опустошая счёт одним движением.

«Поскольку злоумышленники постоянно придумывают новые способы обмана, даже малому бизнесу нужно обучать своих сотрудников основам кибербезопасности. Это особенно важно, если компания работает с криптокошельками: стоит помнить, что криптовалютные сервисы и расширения являются привлекательной целью как для кибергрупп, так и для рядовых мошенников, поэтому нуждаются в хорошей защите», — прокомментировал старший исследователь Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского» Сонсу Пак (Seonsgu Park).

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных