Accueil Dernières minutes ! Le groupe BlueNoroff vide les comptes de crypto-monnaies des start-ups.

Le groupe BlueNoroff vide les comptes de crypto-monnaies des start-ups.

55
0

Les experts de Kaspersky ont
a découvert une série d’attaques de menaces persistantes avancées (APT) – initiées
par BlueNoroff, contre des petites et moyennes entreprises du monde entier, qui
ont entraîné des pertes importantes de crypto-monnaies pour les victimes.

La campagne SnatchCrypto vise diverses entreprises qui, de par la nature de leur travail, traitent des cryptomonnaies et des contrats intelligents, deFi, Blockchain et de l’industrie FinTech.

Dans la dernière campagne BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant un virus backdoor sur Windows avec des fonctions de surveillance, sous couvert d’un « contrat » ou d’un autre document professionnel. Pour finir par vider le portefeuille de crypto-monnaies de la victime, l’attaquant a développé des ressources importantes et dangereuses : une infrastructure complexe, des exploits, des implants de logiciels malveillants.

BlueNoroff fait partie de l’organisation Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe APT Lazarus est connu pour ses attaques contre les banques et les serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour développer des logiciels de crypto-monnaie. Les clients trompés ont ensuite installé des applications d’apparence légitime et, après un certain temps, ont reçu des mises à jour de la porte dérobée.

Aujourd’hui, cette « filiale » du groupe Lazarus s’attaque aux start-ups de crypto-monnaies. La plupart des entreprises de crypto-monnaies étant des start-ups de petite ou moyenne taille, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Les attaquants l’ont compris et en tirent parti, en utilisant des mécanismes d’ingénierie sociale élaborés.

Lire aussi :  Les mystérieuses fosses néolithiques découvertes autour de Stonehenge étaient artificielles | ÉTUDE

Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société d’investissement en capital-risque. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises dont les noms de marque et les noms des employés ont été utilisés illégalement pendant la campagne SnatchCrypto. Les experts de Kaspersky pensent également que toutes les entreprises réelles dont les noms ont été utilisés n’ont rien à voir avec cette attaque ou les e-mails envoyés. La sphère des start-ups de crypto-monnaies a été choisie par les cybercriminels pour une raison simple : ces entreprises reçoivent fréquemment des messages ou des fichiers de sources inconnues. Par exemple, une société d’investissement peut leur envoyer un contrat ou d’autres fichiers liés à l’entreprise. Les attaquants utilisent les documents comme appâts pour amener les victimes à ouvrir le fichier joint du courriel – un document contenant un logiciel malveillant.

Un utilisateur attentif peut remarquer que quelque chose de désagréable se produit lorsque MS Word affiche la fenêtre pop-up de chargement standard.

Si le document était ouvert hors ligne, il ne présenterait aucun danger – il ressemblerait très probablement à la copie d’un contrat ou d’un autre document inoffensif. Mais si l’ordinateur est connecté à Internet au moment de l’ouverture du fichier, un autre document macro-activé est récupéré sur l’appareil de la victime, déployant le malware.

Lire aussi :  L'acteur George Burcea, accusé d'avoir été l'instigateur de violences domestiques : "J'ai eu une réaction dont j'ai très honte".

Ce groupe APT dispose de différentes méthodes dans son arsenal d’infection et prépare l’opération d’infection en fonction de la situation.

Outre les documents Word malveillants, BlueNoroff diffuse également des logiciels malveillants déguisés en fichiers de raccourci archivés de Windows. Il envoie également les informations générales de la victime à l’agent Powershell, qui crée alors une porte dérobée à part entière. À partir de là, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe et un programme qui prend des captures d’écran.

Les attaquants suivent ensuite les victimes pendant des semaines, voire des mois : ils recueillent des informations sur les frappes de l’utilisateur et surveillent ses activités quotidiennes tout en planifiant une stratégie de vol financier. Lorsqu’ils trouvent une cible importante utilisant une extension de navigateur populaire pour gérer les portefeuilles de crypto-monnaies (par exemple, l’extension Metamask), ils remplacent le composant principal de l’extension par une fausse version.

Selon les chercheurs, les attaquants reçoivent une notification lors de la découverte de transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, les pirates interceptent le processus de transaction et modifient l’adresse du destinataire afin de maximiser le montant de la transaction, c’est-à-dire qu’ils vident le compte en une seule fois.

Article précédentSecrétaire d’État américain Antony Blinken : « La Corée du Nord veut attirer l’attention avec ses récents essais de missiles ».
Article suivantBoris Johnson est poussé par les Tories à démissionner après avoir admis avoir participé à une fête de la quarantaine.