Parte del grupo Lazarus desarrolló una infraestructura compleja, exploits e implantes de malware. El actor de amenazas BlueNoroff drena las cuentas de inicio de criptomonedas. BlueNoroff utiliza una metodología de ataque integral.
Los investigadores de seguridad de Kaspersky han descubierto una serie de ataques del actor BlueNoroff de Advanced Persistent Threat (APT) contra pequeñas y medianas empresas en todo el mundo. Las víctimas sufrieron grandes pérdidas de criptomonedas en el proceso. Apodada 'SnatchCrypto', la campaña se dirige a varias empresas involucradas en criptomonedas, así como contratos inteligentes, DeFi, blockchain y la industria FinTech.
En la última campaña del actor de amenazas BlueNoroff, los atacantes explotaron sutilmente la confianza de los empleados en las empresas objetivo al enviarles una puerta trasera completa de Windows con capacidades de monitoreo bajo la apariencia de un "contrato" u otro archivo comercial. Para vaciar la billetera criptográfica de una víctima, el actor ha desarrollado recursos extensos y maliciosos, que incluyen infraestructura compleja, exploits e implantes de malware.
BlueNoroff y Lázaro
BlueNoroff es parte del Grupo Lazarus y aprovecha su estructura diversificada y tecnologías de ataque sofisticadas. Este grupo APT es conocido por atacar bancos y servidores conectados a SWIFT e incluso participó en la creación de empresas fachada para desarrollar software de criptomonedas [2]. Los clientes engañados luego instalaron aplicaciones que parecían legítimas y, después de un tiempo, recibieron actualizaciones, incluida una puerta trasera.
Desde entonces, esta rama del grupo APT se ha movido para atacar las nuevas empresas de criptomonedas. Dado que la mayoría de las empresas de criptomonedas son pequeñas o medianas empresas, no pueden invertir mucho dinero en su sistema de seguridad interno. Lazarus ha reconocido esto y lo explota a través de sofisticados métodos de ingeniería social.
BlueNoroff pretende ser una firma de capital de riesgo
Para ganarse la confianza de la víctima, BlueNoroff finge ser una firma de capital de riesgo. Los investigadores de Kaspersky descubrieron más de 15 empresas de capital de riesgo cuyas marcas y nombres de empleados se usaron indebidamente durante la campaña SnatchCrypto. Según los expertos en seguridad, las empresas reales no tienen nada que ver con este ataque ni con los correos electrónicos. Los ciberdelincuentes eligieron la esfera criptográfica de las empresas emergentes por una razón específica: las empresas emergentes a menudo reciben cartas o archivos de fuentes desconocidas. Debido a esto, es muy posible que una empresa de riesgo le envíe un contrato u otros archivos relacionados con el negocio. El actor de Lazarus APT usa esto como un señuelo para engañar a las víctimas para que abran el archivo adjunto en el correo electrónico, un documento habilitado para macros.
Si un documento de este tipo se abre sin conexión, estos archivos no representan una amenaza. Sin embargo, si una computadora está conectada a Internet en el momento en que se abre el archivo, se descarga otro documento habilitado para macros en el dispositivo de la víctima y se instala el malware.
BlueNoroff utiliza una metodología de ataque integral
El grupo BlueNoroff APT tiene varios métodos en su arsenal de compromiso y diseña la cadena de infección en consecuencia según la situación. Además de documentos de Word maliciosos, el actor también distribuye malware disfrazado de archivos de acceso directo de Windows comprimidos. Esto devuelve la información de la víctima y el agente de Powershell, creando una puerta trasera. A través de estos, BlueNoroff utiliza otras herramientas maliciosas para monitorear a la víctima: un registrador de teclas y una herramienta de captura de pantalla.
Luego, los atacantes rastrean a sus víctimas durante semanas y meses. Recopilan pulsaciones de teclas y monitorean las operaciones diarias del usuario mientras planifican una estrategia para el robo financiero. Una vez que encuentran un objetivo destacado que usa una extensión de navegador popular para administrar billeteras criptográficas (como las extensiones de Metamask), reemplazan su componente principal con una versión falsa.
El proceso de transacción es interceptado y alterado
Según los expertos de Kaspersky, los atacantes reciben una notificación tan pronto como se detecta una gran transferencia. Cuando el usuario comprometido intenta transferir una cantidad a otra cuenta, intercepta el proceso de transacción e inserta su propia lógica. Para completar el pago iniciado, el usuario hace clic en el botón "Aprobar". En ese momento, los ciberdelincuentes cambian la dirección del destinatario y maximizan el monto de la transacción; esto vacía la cuenta de una sola vez.
“A medida que los atacantes continúan encontrando nuevas formas de compromiso digital, incluso las pequeñas empresas deben capacitar a sus empleados en prácticas básicas de ciberseguridad”, dijo Seongsu Park, investigador principal de seguridad en el Equipo de Análisis e Investigación Global (GReAT) de Kaspersky. “Particularmente cuando las empresas utilizan criptomonedas, es importante tener en cuenta que son un objetivo atractivo para los ciberdelincuentes y los actores de APT. Por lo tanto, esta área es particularmente digna de protección”.
Más en Kaspersky.com
Acerca de Kaspersky Kaspersky es una empresa internacional de ciberseguridad fundada en 1997. La profunda inteligencia de amenazas y la experiencia en seguridad de Kaspersky sirven como base para soluciones y servicios de seguridad innovadores para proteger empresas, infraestructura crítica, gobiernos y consumidores en todo el mundo. La cartera de seguridad integral de la empresa incluye una protección líder para puntos finales y una variedad de soluciones y servicios de seguridad especializados para defenderse contra amenazas cibernéticas complejas y en constante evolución. Más de 400 millones de usuarios y 250.000 XNUMX clientes corporativos están protegidos por las tecnologías de Kaspersky. Más información sobre Kaspersky en www.kaspersky.com/