Серия кибератак на счета криптовалютных стартапов
Эксперты "Лаборатории Касперского" раскрыли серию атак кибергруппы BlueNoroff на малый и средний бизнес по всему миру. Кампания, получившая название SnatchCrypto, нацелена на организации, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi (децентрализованные финансы), блокчейном и финтех-индустрией.
Злоумышленники делают ставку на человеческий фактор, отправляя сотрудникам организаций-жертв полнофункциональный бэкдор Windows под видом договора или другого документа. Чтобы красть криптовалюту, они разработали сложную инфраструктуру, эксплойты, вредоносные импланты.
Злоумышленники применяют в атаках на стартапы сложные схемы социальной инженерии. Так, BlueNoroff рассылает письма якобы от существующих венчурных компаний в качестве приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Исследователи "Лаборатории Касперского" обнаружили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных организаций. Эксперты уверены, что реальные компании не имеют никакого отношения ни к атакам, ни к электронным письмам.
Если документ с поддержкой макросов открывается на устройстве, не подключённом к интернету, он не представляет опасности. Скорее всего, он будет выглядеть как договор или другой безобидный документ. Но если в момент запуска файла компьютер подключён к интернету, то на устройство жертвы загружается другой документ с поддержкой макросов, развёртывающий вредоносное ПО.
Кроме заражённых документов Word, группа также распространяет вредоносное ПО в архивных файлах с ярлыками Windows. Оно позволяет в дальнейшем создать полнофункциональный бэкдор. После этого BlueNoroff развёртывает другие вредоносные инструменты для наблюдения: клавиатурный шпион и программу для снятия скриншотов.
Затем злоумышленники неделями или месяцами отслеживают нажатия клавиш и ежедневные действия пользователя, планируя стратегию кражи денег. Обнаружив подходящую потенциальную жертву, которая использует популярное браузерное расширение для управления криптокошельками (например, Metamask), они подменяют основной компонент расширения фейковой версией.
Чтобы защитить организации, "Лаборатория Касперского" рекомендует соблюдать несколько важных мер безопасности:
- обучайте сотрудников азам кибербезопасности, поскольку многие целевые атаки начинаются с фишинга или других методов социальной инженерии;
- регулярно проводите аудит кибербезопасности сетей и устраняйте все уязвимости, обнаруживаемые в периметре или внутри сети;
- заражённое расширение трудно обнаружить вручную, если плохо знать Metamask. Однако модификация расширения Chrome оставляет след: браузер необходимо перевести в режим разработчика и установить расширение Metamask из локального каталога, а не из онлайн-репозитория. Если плагин устанавливается из онлайн-репозитория, Chrome активирует проверку цифровой подписи кода и гарантирует его целостность. Поэтому, если сомневаетесь, проверьте расширение Metamask и настройки Chrome прямо сейчас;
- установите EDR-решение и решение для защиты от сложных атак, которые позволяют выявлять угрозы, расследовать и своевременно устранять инциденты; предоставьте сотрудникам SOC доступ к актуальной информации об угрозах и регулярно развивайте их навыки с помощью специализированных тренингов;
- наряду с защитой конечных точек используйте сервисы для защиты от сложных атак.