Эксперты обнаружили кибергруппировку, атакующую криптовалютные стартапы
Кибергруппировка BlueNoroff провела серию атак на малый и средний бизнес по всему миру, сообщила «Лаборатории Касперского». Кампания получила название SnatchCrypto, она была нацелена на компании, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi, блокчейном и финтех-индустрией.
BlueNoroff является частью более крупной группировки Lazarus, и использует её диверсифицированную структуру и продвинутые технологии. Эксперты установили, что на данный момент BlueNoroff сфокусировалась на атаках на криптовалютные стартапы.
Такие компании не обладают достаточными средствами для инвестиций в кибербезопасность, поясняют исследователи. Понимая это, мошенники используют в атаках на них сложные схемы социальной инженерии.
Так, BlueNoroff рассылает письма якобы от существующих венчурных компаний для приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Эксперты установили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных компаний.
Документ с поддержкой макросов представляет опасность, если открывается на устройстве, подключенном к интеронету. В таком случае на устройство жертвы загружается и развёртывается вредоносное ПО.
В арсенали BlueNoroff есть и другие вредоносные инструменты, позволяющие в дальнейшем создать полнофункциональный бэкдор. BlueNoroff распространяет их в архивных файлах с ярлыками Windows. После запуска развертываются инструменты для наблюдения, такие как клавиатурный шпион и программа для снятия скриншотов.
Это позволяет киберпреступникам неделями отслеживать нажатия клавиш и ежедневные действия жертвы и планировать стратегию кражи средств. Если жертва использует популярное браузерное расширение для управления криптокошельками (например, Metamask), мошенники подменяют основной компонент расширения фейковой версией.
Когда жертва пытается перевести деньги на другой счёт, хакеры перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент злоумышленники меняют адрес получателя и увеличивают сумму перевода до максимума, опустошая счёт.
Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!
Фото на обложке: PabloLagarto /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Популярное
Материалы по теме
-
Пройти курс «Генерируем идеи для бизнеса: курс-практикум»
- 1 «Лаборатория Касперского» нашла первый вирус для кражи данных с фото в iPhone Вирус был обнаружен в 20 фейковых приложениях в App Store и Google Play 04 февраля 10:40
- 2 Названы самые привлекательные работодатели для российских IT-специалистов Первое место занял сервис Aviasales 16 января 12:08
- 3 Компания «МойОфис» предложила уволиться всем топ-менеджерам Акционер компании связывает это с рекордными убытками 06 декабря 17:51
- 4 «Лаборатория Касперского» заявила о росте спроса на продукцию в Азии и Африке Большим спросом продукты пользуются и в Турции, на Ближнем Востоке и в Латинской Америке 16 ноября 14:39