Кибергруппировка BlueNoroff провела серию атак на малый и средний бизнес по всему миру, сообщила «Лаборатории Касперского». Кампания получила название SnatchCrypto, она была нацелена на компании, которые работают с криптовалютами, смарт-контрактами, сервисами DeFi, блокчейном и финтех-индустрией.
BlueNoroff является частью более крупной группировки Lazarus, и использует её диверсифицированную структуру и продвинутые технологии. Эксперты установили, что на данный момент BlueNoroff сфокусировалась на атаках на криптовалютные стартапы.
Такие компании не обладают достаточными средствами для инвестиций в кибербезопасность, поясняют исследователи. Понимая это, мошенники используют в атаках на них сложные схемы социальной инженерии.
Так, BlueNoroff рассылает письма якобы от существующих венчурных компаний для приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Эксперты установили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных компаний.
Документ с поддержкой макросов представляет опасность, если открывается на устройстве, подключенном к интеронету. В таком случае на устройство жертвы загружается и развёртывается вредоносное ПО.
В арсенали BlueNoroff есть и другие вредоносные инструменты, позволяющие в дальнейшем создать полнофункциональный бэкдор. BlueNoroff распространяет их в архивных файлах с ярлыками Windows. После запуска развертываются инструменты для наблюдения, такие как клавиатурный шпион и программа для снятия скриншотов.
Это позволяет киберпреступникам неделями отслеживать нажатия клавиш и ежедневные действия жертвы и планировать стратегию кражи средств. Если жертва использует популярное браузерное расширение для управления криптокошельками (например, Metamask), мошенники подменяют основной компонент расширения фейковой версией.
Когда жертва пытается перевести деньги на другой счёт, хакеры перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент злоумышленники меняют адрес получателя и увеличивают сумму перевода до максимума, опустошая счёт.
Подписывайтесь на наш TG-канал, чтобы быть в курсе всех новостей и событий!
Фото на обложке: PabloLagarto /
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Как среднему бизнесу защищаться от новейших киберугроз
- 2 10+ идей для ИТ-стажировки весной и летом 2023 года
- 3 «Лаборатория Касперского» запустила конкурс для студентов с главным призом в $10 тысяч
- 4 «Лаборатория Касперского» запускает оплачиваемую стажировку для начинающих HR-специалистов
- 5 Технологии кибербезопасности: какие решения перспективны и можно ли полностью защититься уже сейчас
ВОЗМОЖНОСТИ
24 апреля 2024
25 апреля 2024