samedi, avril 27, 2024

ThePressFree

Blog d'actualité

Crypto monnaie 

Pertes majeures de crypto-monnaie pour les PME de l’acteur de menace BlueNoroff

ThePressFree Aucun commentaire


Les experts de Kaspersky ont découvert une série d’attaques de l’acteur de menace persistante avancée (APT) BlueNoroff contre des petites et moyennes entreprises du monde entier, entraînant des pertes majeures de crypto-monnaie pour les victimes.

La campagne, baptisée SnatchCrypto, s’adresse à diverses entreprises qui, de par la nature de leur travail, traitent des crypto-monnaies et des contrats intelligents, DeFi, Blockchain et de l’industrie FinTech.

Dans la dernière campagne de BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une porte dérobée Windows complète avec des fonctions de surveillance sous le couvert d’un contrat ou d’un autre fichier commercial. Afin de vider à terme le portefeuille crypto de la victime, l’acteur a développé des ressources importantes et dangereuses : infrastructure complexe, exploits, implants de malwares.

BlueNoroff fait partie du grand groupe Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe Lazarus APT est connu pour ses attaques contre les banques et les serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients trompés ont ensuite installé des applications d’apparence légitime et, après un certain temps, ont reçu des mises à jour dérobées.

Kaspersky dit que cette branche Lazarus est maintenant passée à l’attaque des startups de crypto-monnaie. Comme la plupart des entreprises de crypto-monnaie sont des startups de petite ou moyenne taille, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. L’acteur comprend ce point et en profite en utilisant des schémas d’ingénierie sociale élaborés, dit-il.

Pour gagner la confiance des victimes, BlueNoroff prétend être une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises à risque, dont le nom de marque et les noms d’employés ont été abusés lors de la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les vraies entreprises n’ont rien à voir avec cette attaque ou les e-mails. La sphère cryptographique des startups a été choisie par les cybercriminels pour une raison : les startups reçoivent souvent des lettres ou des fichiers de sources inconnues. Par exemple, une société à risque peut leur envoyer un contrat ou d’autres fichiers liés à l’entreprise. L’acteur APT l’utilise comme appât pour faire en sorte que les victimes ouvrent la pièce jointe dans un e-mail avec un document prenant en charge les macros.

Un utilisateur attentif peut remarquer que quelque chose de louche se produit alors que MS Word affiche une fenêtre contextuelle de chargement standard.

Si le document devait être ouvert hors ligne, le fichier ne représenterait rien de dangereux – très probablement, il ressemblerait à une copie d’une sorte de contrat ou à un autre document inoffensif. Mais si l’ordinateur est connecté à Internet au moment de l’ouverture du fichier, un autre document prenant en charge les macros est récupéré sur l’appareil de la victime, déployant un logiciel malveillant.

Ce groupe APT dispose de diverses méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word militarisés, l’acteur diffuse également des logiciels malveillants déguisés en fichiers de raccourcis Windows compressés. Il envoie les informations générales de la victime et l’agent Powershell, qui crée ensuite une porte dérobée complète. Grâce à cela, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe et un preneur de capture d’écran.

Selon Kaspersky, les attaquants traquent ensuite les victimes pendant des semaines et des mois : ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l’utilisateur, tout en planifiant une stratégie de vol financier. Après avoir trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles cryptographiques (par exemple, l’extension Metamask), ils remplacent le composant principal de l’extension par une fausse version.

Les chercheurs disent que les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, il intercepte le processus de transaction et injecte sa propre logique. Pour terminer le paiement initié, l’utilisateur clique alors sur le bouton « approuver ». En ce moment, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, vidant essentiellement le compte en un seul geste.

Le groupe est actuellement actif et attaque les utilisateurs quel que soit leur pays d’origine

« Alors que les attaquants proposent en permanence de nombreuses nouvelles façons de tromper et d’abuser, même les petites entreprises devraient éduquer leurs employés sur les pratiques de base en matière de cybersécurité », déclare Seongsu Park, chercheur principal en sécurité au sein de l’équipe mondiale de recherche et d’analyse (GReAT) de Kaspersky.

« C’est particulièrement essentiel si l’entreprise travaille avec des portefeuilles cryptographiques : il n’y a rien de mal à utiliser des services et des extensions de crypto-monnaie, mais notez que c’est également une cible attrayante pour APT et les cybercriminels. Par conséquent, ce secteur doit être bien protégé., « 

Pour la protection des organisations, Kaspersky suggère ce qui suit :

  • Fournissez à votre personnel une formation de base à l’hygiène en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d’autres techniques d’ingénierie sociale ;
  • Réalisez un audit de cybersécurité de vos réseaux et remédiez aux éventuelles faiblesses découvertes dans le périmètre ou à l’intérieur du réseau.
  • L’injection de l’extension est difficile à trouver manuellement, sauf si vous êtes très familier avec la base de code Metamask. Cependant, une modification de l’extension Chrome laisse une trace. Le navigateur doit être basculé en mode développeur et l’extension Metamask est installée à partir d’un répertoire local au lieu de la boutique en ligne. Si le plug-in provient du magasin, Chrome applique la validation de la signature numérique pour le code et garantit l’intégrité du code. Donc, si vous avez des doutes, vérifiez votre extension Metamask et les paramètres de Chrome dès maintenant.
  • Installez des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l’investigation et la résolution rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et améliorez-les régulièrement grâce à une formation professionnelle. Tout ce qui précède est disponible dans le cadre de Kaspersky Expert Security.
  • Outre une protection adéquate des terminaux, des services dédiés peuvent aider à lutter contre les attaques de grande envergure. Le service Kaspersky Managed Detection and Response peut aider à identifier et arrêter les attaques à leurs débuts, avant que les attaquants n’atteignent leurs objectifs.

Laisser un commentaire