Кибергруппировка BlueNoroff провела серию атак на малый и средний бизнес по всему миру, сообщила «Лаборатории Касперского». Кампания получила название SnatchCrypto, она была нацелена на компании, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi, блокчейном и финтех-индустрией.
BlueNoroff является частью более крупной группировки Lazarus, и использует её диверсифицированную структуру и продвинутые технологии. Эксперты установили, что на данный момент BlueNoroff сфокусировалась на атаках на криптовалютные стартапы.
Такие компании не обладают достаточными средствами для инвестиций в кибербезопасность, поясняют исследователи. Понимая это, мошенники используют в атаках на них сложные схемы социальной инженерии.
Так, BlueNoroff рассылает письма якобы от существующих венчурных компаний для приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Эксперты установили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных компаний.
Документ с поддержкой макросов представляет опасность, если открывается на устройстве, подключенном к интеронету. В таком случае на устройство жертвы загружается и развёртывается вредоносное ПО.
В арсенали BlueNoroff есть и другие вредоносные инструменты, позволяющие в дальнейшем создать полнофункциональный бэкдор. BlueNoroff распространяет их в архивных файлах с ярлыками Windows. После запуска развертываются инструменты для наблюдения, такие как клавиатурный шпион и программа для снятия скриншотов.
Это позволяет киберпреступникам неделями отслеживать нажатия клавиш и ежедневные действия жертвы и планировать стратегию кражи средств. Если жертва использует популярное браузерное расширение для управления криптокошельками (например, Metamask), мошенники подменяют основной компонент расширения фейковой версией.
Когда жертва пытается перевести деньги на другой счёт, хакеры перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент злоумышленники меняют адрес получателя и увеличивают сумму перевода до максимума, опустошая счёт.
Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!
Фото на обложке: PabloLagarto /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- Пройти курс «Где взять деньги на бизнес»
- 1 Компания «МойОфис» предложила уволиться всем топ-менеджерам
- 2 «Лаборатория Касперского» заявила о росте спроса на продукцию в Азии и Африке
- 3 В «Лаборатории Касперского» заявили, что помогали Интерполу бороться с хакерами на Олимпиаде
- 4 TechCrunch: «Лаборатория Касперского» закроет офис в Великобритании
ВОЗМОЖНОСТИ
10 декабря 2024
10 декабря 2024
11 декабря 2024