Busca por criptomoedas da BlueNoroff

Nossos especialistas descobriram uma campanha maliciosa direcionada a empresas fintech.

Nossos especialistas têm estudado uma campanha maliciosa direcionada a empresas que trabalham com criptomoedas, contratos inteligentes, finanças descentralizadas e tecnologia blockchain. Os responsáveis pelo ataque estão interessados na indústria fintech em geral e, a campanha foi intitulada como SnatchCrypto, está ligada ao grupo APT BlueNoroff, uma entidade conhecida, já rastreada no ataque de 2016, ao banco central de Bangladesh.

Os objetivos de SnatchCrypto

Os autores desta campanha têm dois objetivos: coletar informações e roubar criptomoedas. Eles estão interessados principalmente em capturar dados de contas de usuário, endereços IP e informações de sessão. Além disso, eles também roubam arquivos de configuração de programas que trabalham diretamente com criptomoedas e que podem conter credenciais e outros dados sensíveis. Os cibercriminosos estudam cuidadosamente as vítimas em potencial, na verdade, às vezes monitoram suas atividades por meses.

Um de seus métodos envolve manipular extensões populares de navegador para gerenciar carteiras de criptomoedas. Por exemplo, eles podem alterar a fonte de uma extensão nas configurações do navegador para que ela seja instalada a partir do armazenamento local (ou seja, uma versão hackeada) em vez do site oficial da loja.

Os métodos de invasão de BlueNoroff

Os golpistas estudam cuidadosamente suas vítimas e usam as informações que conseguem para implementar ataques de engenharia social. Como regra geral, eles escrevem e-mails que parecem vir de empresas de capital de risco reais, mas com um anexo macro-habilitado. Uma vez aberto, este documento baixa um backdoor. Para obter informações mais técnicas sobre o ataque e seus métodos, você pode saber mais neste artigo do Securelist.

Como proteger seu negócio contra ataques do SnatchCrypto

Um sinal claro da atividade SnatchCrypto é uma extensão MetaMask modificada. Para usá-lo, os cibercriminosos têm que colocar o navegador no modo desenvolvedor e instalar a extensão MetaMask de um diretório local. É muito fácil verificar: se o modo do navegador foi alterado sem a sua permissão e a extensão é carregada de um diretório local, é provável que seu dispositivo esteja comprometido.

Além disso, recomendamos que você adote as seguintes medidas de proteção:

  • Desenvolva periodicamente a conscientização de seus funcionários sobre a cibersegurança.
  • Atualize aplicativos críticos imediatamente (incluindo pacotes office e o sistema operacional).
  • Instale em todos os computadores que têm acesso à Internet uma solução de segurança de confiança
  • Use uma solução de EDR (se for apropriado para sua infraestrutura) que permite detectar ameaças complexas e ajudá-lo mitigar os danos de maneira eficiente.

 

Dicas