Accueil Net Un groupe de cybercriminels vole les crypto-monnaies des startups

Un groupe de cybercriminels vole les crypto-monnaies des startups

0

Les experts de Kaspersky ont découvert une série d’attaques menées par le groupe de menaces persistantes avancées (APT) « BlueNoroff » contre des petites et moyennes entreprises du monde entier, entraînant des pertes importantes de crypto-monnaies pour les victimes.

Les entreprises de crypto-monnaies visées

La campagne, baptisée « SnatchCrypto », vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la « DeFi », la « blockchain » et l’industrie « FinTech ».
Dans la campagne la plus récente de « BlueNoroff », les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une backdoor Windows complète avec des fonctions de surveillance sous la forme d’un « contrat » ou d’un autre fichier commercial. Afin de vider les portefeuilles de crypto-monnaies de ses victimes, le groupe a développé des ressources étendues et dangereuses : infrastructures complexes, exploits, implants de logiciels malveillants.

De fausses sociétés de développement de logiciels de crypto-monnaie

« BlueNoroff » fait partie du groupe Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe « APT Lazarus » est connu pour ses attaques contre des banques et des serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients escroqués installaient ensuite des applications d’apparence légitime et, après un certain temps, recevaient des mises à jour dissimulant des backdoors.

Cette « branche » de Lazarus est passée à l’attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d’ingénierie sociale élaborés.

15 fausses entreprises de capital-risque découvertes par Kaspersky

Pour gagner la confiance de la victime, « BlueNoroff » se fait passer pour une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises de capital-risque, dont la marque et les noms des employés ont été utilisés de manière abusive pendant la campagne « SnatchCrypto ».

Les experts de Kaspersky pensent également que les entreprises réelles n’ont rien à voir avec cette attaque ou les e-mails. La sphère des start-ups crypto a été choisie par les cybercriminels pour une raison précise : les start-ups reçoivent souvent des lettres ou des fichiers provenant de sources inconnues. Par exemple, une société à capital-risque peut leur envoyer un contrat ou d’autres fichiers liés aux affaires. L’organisation APT s’en sert comme appât pour inciter les victimes à ouvrir la pièce jointe de l’e-mail – un document contenant des macros.

Si le document devait être ouvert hors ligne, le fichier ne représenterait rien de dangereux – il ressemblerait très probablement à la copie d’un contrat ou d’un autre document inoffensif. Mais si l’ordinateur est connecté à Internet au moment de l’ouverture du fichier, un autre document activé par une macro est récupéré sur l’appareil de la victime, déployant ainsi un malware.

Des logiciels malveillants déguisés en raccourcis Windows zippés

Ce groupe APT dispose de plusieurs méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word piégés, l’acteur diffuse également des logiciels malveillants déguisés en raccourcis « Windows » zippés. Il envoie les informations générales de la victime et l’agent « Powershell », qui crée ensuite une porte dérobée complète. À l’aide de celle-ci, « BlueNoroff » déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe (keylogger) et un logiciel de capture d’écran.

Ensuite, les attaquants suivent les victimes pendant des semaines et des mois : ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l’utilisateur, tout en planifiant une stratégie de vol financier. Ayant trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles de crypto-monnaies (par exemple, l’extension « Metamask »), ils remplacent le composant principal de l’extension par une fausse version.

Selon les chercheurs, les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, ils interceptent le processus de transaction et injectent leur propre logiciel. Pour terminer le paiement initié, l’utilisateur clique ensuite sur le bouton « approuver ». À ce moment-là, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, vidant ainsi le compte en un seul geste.

Les conseils de Kaspersky pour protéger les organisations

Pour la protection des organisations, Kaspersky suggère les mesures suivantes :

  • Offrez à votre personnel une formation de base sur les principes d’hygiène en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale ;
  • Réalisez un audit de cybersécurité de vos réseaux et remédiez à toutes les faiblesses découvertes dans le périmètre ou à l’intérieur du réseau.
  • L’injection de l’extension est difficile à trouver manuellement, sauf si vous êtes très familier avec la base de code de « Metamask ». Cependant, une modification de l’extension Chrome laisse une trace. Le navigateur doit passer en mode développeur et l’extension « Metamask » est installée depuis un répertoire local au lieu du store en ligne. Si l’extension provient de ce dernier, Chrome applique la validation de la signature numérique pour le code et garantit son intégrité. Donc, si vous avez un doute, vérifiez dès maintenant votre extension Metamask et les paramètres de Chrome.
  • Installez des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l’investigation et la remédiation rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et proposez-lui régulièrement des formations professionnelles. Tous ces éléments sont disponibles via Kaspersky Expert Security.
  • En plus d’une protection appropriée des terminaux, des solutions dédiées peuvent vous aider à lutter contre les attaques de grande envergure. La solution Kaspersky « Managed Detection and Response » permet d’identifier et de stopper les attaques à un stade précoce, avant que les attaquants ne parviennent à leurs fins.

 

Quitter la version mobile