Parte do grupo Lazarus desenvolveu infraestrutura complexa, exploits e implantes de malware. Ameaça Ator BlueNoroff drena contas de inicialização de criptomoeda. BlueNoroff usa metodologia de ataque abrangente.
Os pesquisadores de segurança da Kaspersky descobriram uma série de ataques do agente de ameaças persistentes avançadas (APT), BlueNoroff, em pequenas e médias empresas em todo o mundo. As vítimas sofreram grandes perdas de criptomoedas no processo. Apelidada de 'SnatchCrypto', a campanha tem como alvo várias empresas envolvidas em criptomoedas, bem como contratos inteligentes, DeFi, blockchain e a indústria FinTech.
Na campanha mais recente do agente de ameaças BlueNoroff, os invasores exploraram sutilmente a confiança dos funcionários nas empresas-alvo, enviando a eles um backdoor completo do Windows com recursos de monitoramento sob o disfarce de um "contrato" ou outro arquivo comercial. Para esvaziar a carteira criptográfica da vítima, o ator desenvolveu recursos extensos e maliciosos - incluindo infraestrutura complexa, exploits e implantes de malware.
BlueNoroff e Lázaro
A BlueNoroff faz parte do Lazarus Group e utiliza sua estrutura diversificada e sofisticadas tecnologias de ataque. Esse grupo APT é conhecido por atacar bancos e servidores conectados ao SWIFT e até participou da criação de empresas de fachada para desenvolver softwares de criptomoedas [2]. Os clientes enganados instalaram aplicativos de aparência legítima e, depois de um tempo, receberam atualizações, incluindo um backdoor.
Desde então, essa ramificação do grupo APT passou a atacar startups de criptomoedas. Como a maioria das empresas de criptomoedas são startups de pequeno ou médio porte, elas não podem investir muito dinheiro em seu sistema de segurança interna. O Lazarus reconheceu isso e o explora por meio de métodos sofisticados de engenharia social.
BlueNoroff finge ser uma empresa de capital de risco
Para ganhar a confiança da vítima, BlueNoroff finge ser uma empresa de capital de risco. Os pesquisadores da Kaspersky descobriram mais de 15 empresas de capital de risco cujas marcas e nomes de funcionários foram mal utilizados durante a campanha SnatchCrypto. De acordo com os especialistas em segurança, empresas reais não têm nada a ver com esse ataque ou com os e-mails. A esfera criptográfica das startups foi escolhida pelos cibercriminosos por um motivo específico: as startups geralmente recebem cartas ou arquivos de fontes desconhecidas. Por causa disso, é bem possível que uma empresa de risco envie a você um contrato ou outros arquivos relacionados a negócios. O ator Lazarus APT usa isso como uma isca para induzir as vítimas a abrir o anexo no e-mail - um documento habilitado para macro.
Se tal documento for aberto offline, esses arquivos não representam uma ameaça. No entanto, se um computador estiver conectado à Internet no momento em que o arquivo for aberto, outro documento habilitado para macro será baixado no dispositivo da vítima e o malware será instalado.
BlueNoroff usa metodologia de ataque abrangente
O grupo BlueNoroff APT tem vários métodos em seu arsenal de comprometimento e projeta a cadeia de infecção de acordo com a situação. Além de documentos maliciosos do Word, o ator também distribui malware disfarçado de arquivos compactados de atalho do Windows. Isso envia de volta as informações da vítima e o agente Powershell, criando um backdoor. Através deles, o BlueNoroff usa outras ferramentas maliciosas para monitorar a vítima: um keylogger e uma ferramenta de captura de tela.
Os atacantes então rastreiam suas vítimas por semanas e meses. Eles coletam teclas digitadas e monitoram as operações diárias do usuário enquanto planejam uma estratégia para roubo financeiro. Assim que encontram um alvo proeminente que usa uma extensão de navegador popular para gerenciar carteiras criptográficas (como as extensões Metamask), eles substituem seu componente principal por uma versão falsa.
Processo de transação é interceptado e alterado
De acordo com os especialistas da Kaspersky, os invasores recebem uma notificação assim que uma grande transferência é detectada. Quando o usuário comprometido tenta transferir um valor para outra conta, ele intercepta o processo da transação e insere sua própria lógica. Para concluir o pagamento iniciado, o usuário então clica no botão “Aprovar”. Nesse momento, os cibercriminosos alteram o endereço do destinatário e maximizam o valor da transação; a conta é esvaziada de uma só vez.
“À medida que os invasores continuam a encontrar novas formas de comprometimento digital, até mesmo as pequenas empresas devem treinar seus funcionários em práticas básicas de segurança cibernética”, disse Seongsu Park, pesquisador sênior de segurança da Equipe Global de Pesquisa e Análise (GReAT) da Kaspersky. “Particularmente quando as empresas estão usando criptomoedas, é importante observar que elas são um alvo atraente para atores APT e cibercriminosos. Portanto, esta área é particularmente digna de proteção.”
Mais em Kaspersky.com
Sobre Kaspersky A Kaspersky é uma empresa internacional de cibersegurança fundada em 1997. A profunda inteligência de ameaças e experiência em segurança da Kaspersky serve como base para soluções e serviços de segurança inovadores para proteger empresas, infraestrutura crítica, governos e consumidores em todo o mundo. O abrangente portfólio de segurança da empresa inclui proteção de endpoint líder e uma variedade de soluções e serviços de segurança especializados para se defender contra ameaças cibernéticas complexas e em evolução. Mais de 400 milhões de usuários e 250.000 clientes corporativos são protegidos pelas tecnologias da Kaspersky. Mais informações sobre Kaspersky em www.kaspersky.com/