szpiegowanie
Nasi eksperci badają szkodliwą kampanię, której celem są firmy mające do czynienia z kryptowalutami, inteligentnymi kontraktami, zdecentralizowanymi finansami i technologią blockchain. Kampania o nazwie „SnatchCrypto” ma związek z ugrupowaniem APT BlueNoroff, które w 2016 roku zaatakowało bank centralny Bangladeszu.
Cele kampanii SnatchCrypto
Cyberprzestępcy stojący za tą akcją mają dwa cele. Pierwszy z nich to zbieranie informacji — są oni zainteresowani przede wszystkim danymi o kontach użytkowników, adresach IP i informacjami o sesjach. Drugim celem jest kradzież kryptowaluty — kradną oni pliki konfiguracyjne z programów, które mają bezpośredni kontakt z kryptowalutą i mogą zawierać dane logowania oraz inne informacje dotyczące kont. Atakujący dokładnie badają potencjalne ofiary, czasami monitorując ich aktywność przez wiele miesięcy.
W jednej ze stosowanych metod atakujący zmieniają popularne rozszerzenia przeglądarki służące do zarządzania portfelami kryptowalut. Na przykład mogą zmienić w ustawieniach przeglądarki źródło rozszerzenia, aby zostało ono zainstalowane z pamięci lokalnej (czyli wersji zmodyfikowanej) zamiast z oficjalnego sklepu internetowego. Mogą również użyć zmodyfikowanego rozszerzenia Metamask dla przeglądarki Chrome, aby zastąpić logikę transakcji, dzięki czemu mogą okradać nawet osoby, które do podpisywania przelewów kryptowalutowych używają urządzeń sprzętowych.
W jaki sposób atakuje BlueNoroff
Osoby stojące za opisywanymi atakami dokładnie sprawdzają swoje ofiary, a zdobyte informacje wykorzystują do przeprowadzania ataków socjotechnicznych. Zazwyczaj tworzą one wiadomości e-mail, które mają wyglądać tak, jakby pochodziły z istniejących firm typu venture. Zwykle do takich e-maili załączany jest dokument z obsługą makr, który po otwarciu pobiera backdoora. Szczegółowe informacje techniczne dotyczące ataków i metod stosowanych przez atakujących opublikowaliśmy w raporcie dostępnym w serwisie SecureList.
Jak chronić swoją firmę przed atakami typu SnatchCrypto
Jedną z oznak aktywności zagrożenia SnatchCrypto jest obecność zmodyfikowanego rozszerzenia Metamask. Aby z niego skorzystać, atakujący muszą przełączyć przeglądarkę w tryb programisty i zainstalować rozszerzenie Metamask z katalogu lokalnego. Można to łatwo sprawdzić: jeśli tryb przeglądarki został przełączony bez Twojej zgody, a wspomniane rozszerzenie jest ładowane z katalogu lokalnego, urządzenie prawdopodobnie zostało zhakowane.
Zalecamy stosowanie następujących standardowych środków ochronnych:
- okresowe zwiększanie świadomości pracowników w zakresie cyberbezpieczeństwa,
- szybkie aktualizowanie aplikacji o charakterze krytycznym (w tym systemów operacyjnych i pakietów biurowych),
- zainstalowanie na każdym komputerze, który ma dostęp do internetu, niezawodnego rozwiązania bezpieczeństwa,
- korzystanie z rozwiązania EDR, które umożliwia wykrywanie złożonych zagrożeń i szybkie podjęcie stosowych działań.
Porady