Home » Lumea digitală » Conturile de criptomonede ale unor IMM-uri, golite într-o serie de atacuri informatice

Conturile de criptomonede ale unor IMM-uri, golite într-o serie de atacuri informatice

Publicat: 16.01.2022
Conturile de criptomonede ale unor IMM-uri, golite într-o serie de atacuri informatice
Foto: Shutterstock

Conturile de criptomonede ale unor IMM-uri au fost golite în timpul unor atacuri informatice, iar pierderile au fost majore.

Experții Kaspersky au descoperit o serie de atacuri de tip amenințări persistente avansate (APT), inițiate de BlueNoroff, împotriva companiilor mici și mijlocii din întreagă lume, care au dus la pierderi majore de criptomonede pentru victime. Campania, denumită SnatchCrypto, se adresează diferitelor companii care, prin natură muncii lor, se ocupă de criptomonede și contracte inteligente, DeFi, Blockchain și industria FinTech.

În cea mai recentă campanie BlueNoroff, atacatorii au abuzat subtil de încrederea angajaților care lucrează la companiile vizate, trimițându-le un virus de tip backdoor pe Windows cu funcții de supraveghere, sub masca unui „contract” sau a unui alt document de business. Pentru a goli în cele din urmă portofelul cripto al victimei, atacatorul a dezvoltat resurse extinse și periculoase: infrastructură complexă, exploit-uri, implanturi de malware.

Conturile de criptomonede, atacate prin scheme de inginerie socială

BlueNoroff face parte din organizația Lazarus și folosește structura diversificată și tehnologiile de atac sofisticate ale acesteia. Grupul Lazarus APT este cunoscut pentru atacurile asupra băncilor și serverelor conectate la SWIFT și chiar s-a angajat în crearea de companii false pentru dezvoltarea de software pentru criptomonede. Clienții înșelați au instalat ulterior aplicații cu aspect legitim și, după un timp, au primit actualizări de tip backdoor.

Acum, această „filiala” a grupului Lazarus a trecut la atacarea start-up-urilor de criptomonede. Deoarece majoritatea business-urilor cu criptomonede sunt start-up-uri mici sau mijlocii, acestea nu pot investi mulți bani în sistemul lor de securitate internă. Atacatorii înțeleg acest punct și profită de el, utilizând scheme elaborate de inginerie socială.

Pentru a câștigă încrederea victimei, BlueNoroff pretinde a fi o companie de investiții de capital de risc existențial. Cercetătorii Kaspersky au descoperit peste 15 companii, ale căror nume de brand și nume de angajați au fost abuzate în timpul campaniei SnatchCrypto. Experții Kaspersky cred, de asemenea, că toate companiile reale folosite nu au nimic de-a face cu acest atac sau cu e-mailurile trimise. Sfera start-up-urilor care se ocupă de criptomonede a fost aleasă de infractorii cibernetici dintr-un motiv simplu: asemenea companii primesc frecvent mesaje sau fișiere din surse necunoscute, potrivit Mediafax.

Atacatorii urmăresc victimele timp de săptămâni sau chiar luni

Dacă documentul ar fi deschis offline, nu ar prezența niciun pericol – cel mai probabil, ar arată că o copie a unui fel de contract sau a unui alt document inofensiv. Dar dacă computerul este conectat la Internet în momentul deschiderii fișierului, un alt document macro-activat este preluat pe dispozitivul victimei, implementand malware.

Acest grup APT are diferite metode în arsenalul sau de infecție și asamblează lanțul de infecție în funcție de situație. Pe lângă documentele Word periculoase, actorul răspândește și programe malware deghizate în fișiere pentru shortcuts Windows, arhivate. Trimite informațiile generale ale victimei și către agentul Powershell, care apoi creează un backdoor cu funcții complete. Folosind acest lucru, BlueNoroff implementează alte instrumente rău intenționate pentru a monitoriza victima: un keylogger și unul care realizează capturi de ecran.

Apoi atacatorii urmăresc victimele timp de săptămâni, sau luni: colectează informații despre tastele apăsate de utilizator și monitorizează operațiunile zilnice ale acestuia, în timp ce planifică o strategie pentru furtul financiar. Când găsesc o țintă importantă care utilizează o extensie populară de browser pentru a gestiona portofelele cripto (de exemplu, extensia Metamask), aceștia înlocuiesc componentă principala a extensiei cu o versiune falsă.

Potrivit cercetătorilor, atacatorii primesc o notificare la descoperirea unor transferuri mari. Atunci când utilizatorul compromis încearcă să transfere unele fonduri într-un alt cont, acesta interceptează procesul de tranzacție și injectează propria logică. Pentru a finaliza plata inițiată, utilizatorul face click pe butonul „aprobă”. În acest moment, infractorii cibernetici schimbă adresa destinatarului și maximizează suma tranzacției, adică golesc contul dintr-o singură mișcare.

Redactia Descopera.ro
Redactia Descopera.ro
Descopera.ro este un portal de stiinta, tehnologie, natura si calatorii care isi propune sa fie cel mai mare site de popularizare a stiintelor si de cultura generala din Romania. Sub sloganul E LUMEA TA!, DESCOPERA.RO aduce zilnic ultimele stiri din cele mai fascinante domenii stiintifice, investigh... citește mai mult
Cele mai noi articole
Paradă record a celor mai mici pinguini din lume, pe o plajă din Australia
Paradă record a celor mai mici pinguini din lume, pe o plajă din Australia
Microbii de pe fundul mărilor pământene ne-ar putea ajuta să găsim extratereștri
Microbii de pe fundul mărilor pământene ne-ar putea ajuta să găsim extratereștri
Un aeroport din SUA reciclează uleiul de gătit și îl folosește drept combustibil pentru avioane
Un aeroport din SUA reciclează uleiul de gătit și îl folosește drept combustibil pentru avioane
Hormonul care lungește viața șoarecilor. Cu ce ne ajută pe noi?
Hormonul care lungește viața șoarecilor. Cu ce ne ajută pe noi?
Este motocoasa un dispozitiv indispensabil în orice gospodărie? Care sunt avantajele acesteia?
Este motocoasa un dispozitiv indispensabil în orice gospodărie? Care sunt avantajele acesteia?
Test de cultură generală. Care este cea mai înaltă cascadă din lume?
Test de cultură generală. Care este cea mai înaltă cascadă din lume?
Soarele, văzut ca niciodată până acum. Steaua noastră își dezvăluie, în sfârșit, polii
Soarele, văzut ca niciodată până acum. Steaua noastră își dezvăluie, în sfârșit, polii
Iată cum ar fi arătat mașinile Tesla dacă ar fi existat în lumea postapocaliptică din „Mad Max”
Iată cum ar fi arătat mașinile Tesla dacă ar fi existat în lumea postapocaliptică din „Mad Max”
Rușii se laudă cu arme laser care pot să „orbească” sateliţii (DOCUMENTAR)
Rușii se laudă cu arme laser care pot să „orbească” sateliţii (DOCUMENTAR)
Submarinul de lux pe baterii îți permite să dai petreceri sub apă. Cum arată mașinăria?
Submarinul de lux pe baterii îți permite să dai petreceri sub apă. Cum arată mașinăria?
Cine sunt oamenii care îl pot îndepărta pe Putin de la putere (DOCUMENTAR)
Cine sunt oamenii care îl pot îndepărta pe Putin de la putere (DOCUMENTAR)
O chitară Gibson, distrusă în noaptea în care legendara trupă Oasis s-a despărțit, vândută cu 300.000 de euro
O chitară Gibson, distrusă în noaptea în care legendara trupă Oasis s-a despărțit, vândută cu 300.000 de euro
Se împlinesc mai bine de trei veacuri de când „Lorenzo de Medici” al României îi îndruma pe moldoveni să lupte împotriva otomanilor
Se împlinesc mai bine de trei veacuri de când „Lorenzo de Medici” al României îi îndruma pe moldoveni să lupte ...
Vaccinare împotriva variolei în Marea Britanie, după cazurile de variola maimuţei
Vaccinare împotriva variolei în Marea Britanie, după cazurile de variola maimuţei
A patra doză de vaccin împotriva COVID-19, beneficii pentru cei mai vulnerabili
A patra doză de vaccin împotriva COVID-19, beneficii pentru cei mai vulnerabili
Inflaţia din Regatul Unit a atins nivelul istoric de 9%, cea mai mare din ultimii 40 de ani
Inflaţia din Regatul Unit a atins nivelul istoric de 9%, cea mai mare din ultimii 40 de ani
Compozitorul Vangelis, celebru pentru „Carele de Foc”, a murit la 79 de ani
Compozitorul Vangelis, celebru pentru „Carele de Foc”, a murit la 79 de ani
Mașina Apple, cu un pas mai aproape de realitate. Compania a solicitat un nou brevet pentru VR
Mașina Apple, cu un pas mai aproape de realitate. Compania a solicitat un nou brevet pentru VR