A fejlett állandó fenyegetésekkel támadó BlueNoroff hekkercsoport támadásai következtében az áldozatok komoly kriptovaluta-veszteségeket szenvednek el világszerte. A SnatchCrypto nevű kampány célpontjai olyan vállalatok, amelyek a tevékenységük jellegéből adódóan kriptovalutákkal és okos szerződésekkel, decentralizált finanszírozással (DeFi), blokklánc technológiával és a FinTech iparággal foglalkoznak.

A BlueNoroff legújabb kampányának keretében a támadók ravasz módon élnek vissza a célba vett vállalatoknál dolgozók bizalmával: egy megfigyelő funkcióval rendelkező teljes funkcionalitású Windows hátsó kaput küldenek nekik egy „szerződés” vagy más üzleti fájl álcája alatt. Az áldozat kriptotárcájának kiürítéséhez a támadók átfogó és veszélyes erőforrásokat dolgoztak ki: komplex infrastruktúrát, exploitokat és beépülő malware-eket.

A Lazarus csoport részeként tevékenykedő BlueNoroff diverzifikált struktúrát és kifinomult támadási technológiákat alkalmaz. A fejlett állandó fenyegetésekkel támadó Lazarus hekkercsoport a SWIFT-rendszerbe tartozó bankok és szerverek elleni támadásokról ismert, sőt még kriptovaluta-szoftverfejlesztő kamu cégek létrehozásában is részt vett. A becsapott ügyfelek feltelepítették a törvényesnek kinéző alkalmazásokat, majd egy kis idő múlva hátsó kapuval ellátott frissítéseket kaptak.

Ha a dokumentumot offline módban nyitják meg, a fájl semmilyen veszélyt nem jelent – a legnagyobb valószínűséggel úgy fog kinézni, mint egy szerződés vagy egy másik ártalmatlan dokumentum. Ha azonban a számítógép a fájl megnyitásának pillanatában csatlakoztatva volt az internethez, akkor egy engedélyezett makrókat tartalmazó másik dokumentum is rákerül az áldozat eszközére és feltelepít egy malware-t.

A hekkercsoport különféle módszereket tartogat a fertőzési arzenáljában, és a helyzetnek megfelelően állítja össze a fertőzési láncot. A fegyverként szolgáló Word dokumentumok mellett a támadók tömörített Windows parancsikon-fájlok álcája alatt is terjesztik a malware-t. A rosszindulatú program általános információkat és egy Powershell ágenst küld az áldozatnak, mely utóbbi egy teljes funkcionalitású hátsó kaput hoz létre. A BlueNoroff ennek felhasználásával más kártékony eszközöket telepít az áldozat megfigyeléséhez: egy billentyűzetfigyelő és egy képernyőképlopó programot.

A támadók ezt követően heteken, hónapokon át nyomon követik az áldozatot: begyűjtik a billentyűzet-leütéseket és megfigyelik a felhasználó napi tevékenységeit, miközben kidolgozzák a stratégiát a pénzügyi lopáshoz. Ha találnak egy prominens célpontot, aki egy népszerű böngészőbővítményt használ a kriptotárcák kezeléséhez (pl. a Metamask bővítményt), akkor a bővítmény fő komponensét egy hamis verzióra cserélik.

A kutatók szerint a támadók értesítést kapnak a nagy összegű átutalások felfedezésekor. Ha a feltört felhasználó némi pénzösszeget kísérel meg átutalni egy másik számlára, a támadók elfogják a tranzakciós folyamatot, és injektálják a saját logikájukat. A megkezdett fizetés befejezéséhez a felhasználó aztán a „jóváhagyás” gombra kattint. Ebben a pillanatban a kiberbűnözők módosítják a címzett címét és maximalizálják a tranzakció összegét, ily módon lényegében egy lépésben kiürítik a számlát.

„Mivel a támadók folyamatosan rengeteg új módszert találnak ki az átverésekhez és a visszaélésekhez, még a kisvállalkozásoknak is kiberbiztonsági alapismeretekkel foglalkozó képzésben kell részesíteniük a dolgozóikat. Különösen lényeges ez, ha a vállalat kriptotárcákkal foglalkozik: semmi baj nincs azzal, ha valaki kriptovaluta-szolgáltatásokat és bővítményeket használ, de fontos tudni, hogy ezek a fejlett fenyegetésekkel támadó csoportok és a kiberbűnözők számára is vonzó célpontot jelentenek. Ezt a szektort ezért alapos védelemben kell részesíteni” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.

A szervezetek védelméhez a következőket javasolja a Kaspersky:

• Részesítsék a munkavállalókat kiberbiztonsági alapismeretekkel foglalkozó képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal.

• Végezzék el a hálózataik kiberbiztonsági auditját, és orvosolják a periméterben vagy a hálózaton belül felfedezett gyengeségeket.

• A bővítmény injektálását nehéz manuálisan megtalálni, kivéve, ha valaki nagyon jól ismeri a Metamask kódbázisát. A Chrome bővítmény módosítása azonban nyomot hagy. A böngészőt fejlesztői módba kell átállítani, és a Metamask bővítményt nem az online áruházból, hanem egy helyi könyvtárból kell feltelepíteni. Ha a bővítmény az áruházból származik, a Chrome digitális aláírás-hitelesítést kényszerít ki a kódhoz, és garantálja a kód integritását. Ezért, ha kétségeik vannak, ellenőrizzék most rögtön a Metamask bővítményt és a Chrome beállításait.

• Telepítsenek APT elleni és EDR megoldásokat, amelyek lehetővé teszik a fenyegetések felfedezését és észlelését, valamint az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést. A fentiek mindegyike elérhető a Kaspersky Expert Security keretrendszerében.

• A megfelelő végpontvédelem mellett speciális szolgáltatások is segítséget nyújthatnak a nagy horderejű támadások kivédésében. A Kaspersky Managed Detection and Response szolgáltatása már a korai szakaszban felismeri és megállítja a támadásokat, még mielőtt a támadók elérhetnék a céljaikat.