Gli esperti di Kaspersky hanno scoperto una serie di attacchi del gruppo APT (Advanced Persistent Threat) BlueNoroff, rivolti ad aziende di piccole e medie dimensioni in tutto il mondo, che avevano lo scopo di rubare criptovaluta.
Kaspersky individua BlueNoroff, il threat actor che colpisce le startup di criptovaluta
Nell’ultima campagna di BlueNoroff, gli attaccanti hanno inviato ai dipendenti delle aziende prese di mira una backdoor Windows completa di funzioni di sorveglianza sotto le spoglie di un finto “contratto” o di un documento aziendale simile. Per riuscire a svuotare il wallet di criptovalute della vittima, l’attaccante ha sviluppato risorse molto articolate e pericolose. Tra di esse troviamo infrastrutture complesse, exploit e impianti malware.
BlueNoroff fa parte del più noto gruppo Lazarus e ne utilizza la struttura diversificata e le sofisticate tecnologie di attacco. Il gruppo APT Lazarus è noto per attacchi a banche e server collegati a SWIFT. Inoltre è riconosciuto per la creazione di finte società che avevano lo scopo di sviluppare software di criptovaluta. In questo modo, gli utenti ingannati installavano app dall’aspetto legittimo che, in realtà, ricevevano backdoor camuffate da aggiornamenti.
Ora questo “ramo” (BlueNoroff) di Lazarus sta attaccando le startup di criptovaluta, la maggior parte composta da piccole o medie imprese che non hanno la possibilità di investire molto nel loro sistema di sicurezza interno.
Per guadagnare la fiducia della vittima e quindi derubare le startup di criptovaluta, BlueNoroff finge di essere una società di venture capital realmente esistente. I criminali informatici hanno scelto il settore delle startup di criptovaluta perché queste aziende ricevono spesso mail o file da fonti sconosciute.
Ad esempio, una società di venture capital è solita inviare contratti o altri file relativi al business. I gruppi APT sfruttano queste attività come esca per convincere le vittime ad aprire i file allegati, ovvero, documenti in grado di caricare da siti esterni, “template” dannosi.
Cosa succede se si apre il documento?
Aprire il documento in modalità offline non rappresenterebbe un pericolo, risulterebbe infatti un innocuo documento. Aprendolo con un computer connesso ad Internet, però, sul dispositivo della vittima si scaricherebbe automaticamente un nuovo documento, abilitato alle macro e distribuito il malware.
Questo gruppo APT possiede varie tattiche di infezione nel suo arsenale e crea la catena di infezione a seconda della situazione. Oltre ai documenti Word infetti, i criminali diffondono anche malware camuffati da file di collegamento Windows compressi.
In seguito, gli attaccanti tracciano le vittime per settimane e mesi, registrando tutte le sequenze dei tasti e monitorando le operazioni quotidiane dell’utente. Nel momento in cui trovano un obiettivo importante che utilizza una popolare estensione del browser (ad esempio Metamask) per gestire i wallet di criptovaluta, i criminali sostituiscono il componente principale dell’estensione con una versione falsa.
Secondo i ricercatori, gli attaccanti ricevono una notifica nel momento in cui le vittime effettuano grandi trasferimenti di denaro. Quando la vittima tenta di trasferire alcuni fondi su un altro conto, gli attaccanti intercettano il processo di transazione e mettono in esecuzione del codice malevolo. Quando per completare il pagamento l’utente clicca sul pulsante “approva” i criminali informatici cambiano l’indirizzo del destinatario. Inoltre massimizzano l’importo della transazione, prosciugando tutti i fondi del conto.
Seongsu Park, Senior Security Researcher del Global Research and Analysis Team (GReAT) di Kaspersky, ha detto:
Poiché i criminali informatici sviluppano continuamente nuovi metodi per i loro attacchi, anche le piccole imprese dovrebbero formare i propri dipendenti sulla sicurezza informatica di base. È importante farlo soprattutto se l’azienda lavora con portafogli di criptovaluta: non c’è niente di sbagliato nell’usare servizi ed estensioni di questo genere, ma bisogna tenere in conto che costituiscono un’esca per le APT e i criminali informatici. Pertanto, questo settore deve essere ben protetto.
I consigli di Kaspersky
Per un’adeguata protezione aziendale, Kaspersky suggerisce quanto segue:
- Formare il personale con un corso di sicurezza informatica di base;
- Eseguire un audit di sicurezza informatica delle proprie reti e correggere eventuali punti deboli scoperti nel perimetro o all’interno della rete;
- L’inserimento della finta estensione è difficile da individuare manualmente, a meno che non si abbia familiarità con il codebase Metamask. Tuttavia, una modifica dell’estensione Chrome lascerebbe una traccia. Il browser deve essere impostato in modalità sviluppatore in modo che l’estensione Metamask venga installata da una directory locale invece che dallo store online. Se il plugin provenisse dallo store, Chrome applicherebbe la convalida della firma digitale per il codice e ne garantirebbe l’integrità. Quindi, in caso di dubbi, controllare l’estensione Metamask e le impostazioni di Chrome.
- Installare soluzioni anti-APT ed EDR, che consentono di rilevare le minacce, e di individuare e risolvere tempestivamente gli incidenti. Fornire al proprio team SOC l’accesso alla threat intelligence più aggiornata e fornire regolare formazione professionale. Tutto questo è disponibile all’interno del framework Kaspersky Expert Security.
- Insieme ad un’adeguata protezione degli endpoint, i servizi dedicati possono aiutare contro gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response può aiutare a identificare e bloccare gli attacchi nelle fasi iniziali, prima che gli attaccanti raggiungano i loro obiettivi.
- Difende da virus, cryptolocker e altri ransomware
- Protegge la privacy, le password, i file e le foto
- Protegge i risparmi quando acquisti o navighi nella tua banca online