Pénzcentrum • 2022. január 14. 16:04
Kis és közepes méretű vállalkozások elleni támadássorozatra bukkantak a Kaspersky szakértői. A fejlett állandó fenyegetésekkel támadó BlueNoroff hekkercsoport támadásai következtében az áldozatok komoly kriptovaluta-veszteségeket szenvednek el világszerte. A SnatchCrypto nevű kampány célpontjai olyan vállalatok, amelyek a tevékenységük jellegéből adódóan kriptovalutákkal és okos szerződésekkel, decentralizált finanszírozással (DeFi), blokklánc technológiával és a FinTech iparággal foglalkoznak.
A BlueNoroff legújabb kampányának keretében a támadók ravasz módon élnek vissza a célba vett vállalatoknál dolgozók bizalmával: egy megfigyelő funkcióval rendelkező teljes funkcionalitású Windows hátsó kaput küldenek nekik egy „szerződés” vagy más üzleti fájl álcája alatt. Az áldozat kriptotárcájának kiürítéséhez a támadók átfogó és veszélyes erőforrásokat dolgoztak ki: komplex infrastruktúrát, exploitokat és beépülő malware-eket - hívja fel a figyelmet a Kaspersky.
A Lazarus csoport részeként tevékenykedő BlueNoroff diverzifikált struktúrát és kifinomult támadási technológiákat alkalmaz. A fejlett állandó fenyegetésekkel támadó Lazarus hekkercsoport a SWIFT-rendszerbe tartozó bankok és szerverek elleni támadásokról ismert, sőt még kriptovaluta-szoftverfejlesztő kamu cégek létrehozásában is részt vett. A becsapott ügyfelek feltelepítették a törvényesnek kinéző alkalmazásokat, majd egy kis idő múlva hátsó kapuval ellátott frissítéseket kaptak.
A Lazarus „fiókcége” most a kriptovalutával foglalkozó startupok elleni támadásokra állt át. Mivel a kriptovalutával foglalkozó vállalkozások többsége kis- és közepes méretű startup, nem tud rengeteg pénzt fektetni a belső biztonsági rendszerébe. A támadó tisztában van ezzel, és alaposan kidolgozott pszichológiai manipulációs módszerekkel az előnyére is fordítja a helyzetet.
Az áldozat bizalmának elnyeréséhez a BlueNoroff létező kockázatitőke-társaságnak adja ki magát. A Kaspersky kutatói több mint 15 olyan kockázatitőke-vállalkozást találtak, amelynek márkanevével és alkalmazottai nevével a SnatchCrypto kampányban visszaéltek. A Kaspersky szakemberei úgy vélik, hogy a valódi cégeknek semmi közük nincs ezekhez a támadásokhoz vagy az e-mailekhez. A kiberbűnözők jó okkal választották a startupos kriptoszférát: a startupok gyakran kapnak leveleket vagy fájlokat ismeretlen forrásokból, például egy kockázatitőke-társaság is küldhet nekik szerződést vagy egyéb üzleti vonatkozású fájlokat. A támadó ezt használja csalinak ahhoz, hogy az áldozatok megnyissák az e-mailben található mellékletet: egy olyan dokumentumot, amelyben engedélyezve vannak a makrók.
A hekkercsoport különféle módszereket tartogat a fertőzési arzenáljában, és a helyzetnek megfelelően állítja össze a fertőzési láncot. A fegyverként szolgáló Word dokumentumok mellett a támadók tömörített Windows parancsikon-fájlok álcája alatt is terjesztik a malware-t. A rosszindulatú program általános információkat és egy Powershell ágenst küld az áldozatnak, mely utóbbi egy teljes funkcionalitású hátsó kaput hoz létre. A BlueNoroff ennek felhasználásával más kártékony eszközöket telepít az áldozat megfigyeléséhez: egy billentyűzetfigyelő és egy képernyőképlopó programot.
JÓL JÖNNE 1 MILLIÓ FORINT?
Amennyiben 1 millió forintot igényelnél 36 hónapos futamidőre, akkor a törlesztőrészletek szerinti rangsor alapján az egyik legjobb konstrukciót, havi 33 952 forintos törlesztővel az UniCredit Bank nyújtja (THM 14,41 %), de nem sokkal marad el ettől a CIB Bank 33 972 forintos törlesztőt (THM 14,45%) ígérő ajánlata sem. További bankok ajánlataiért, illetve a konstrukciók pontos részleteiért (THM, törlesztőrészlet, visszafizetendő összeg, stb.) keresd fel a Pénzcentrum megújult személyi kölcsön kalkulátorát. (x)
A támadók ezt követően heteken, hónapokon át nyomon követik az áldozatot: begyűjtik a billentyűzet-leütéseket és megfigyelik a felhasználó napi tevékenységeit, miközben kidolgozzák a stratégiát a pénzügyi lopáshoz. Ha találnak egy prominens célpontot, aki egy népszerű böngészőbővítményt használ a kriptotárcák kezeléséhez (pl. a Metamask bővítményt), akkor a bővítmény fő komponensét egy hamis verzióra cserélik.
A kutatók szerint a támadók értesítést kapnak a nagy összegű átutalások felfedezésekor. Ha a feltört felhasználó némi pénzösszeget kísérel meg átutalni egy másik számlára, a támadók elfogják a tranzakciós folyamatot, és injektálják a saját logikájukat. A megkezdett fizetés befejezéséhez a felhasználó aztán a „jóváhagyás” gombra kattint. Ebben a pillanatban a kiberbűnözők módosítják a címzett címét és maximalizálják a tranzakció összegét, ily módon lényegében egy lépésben kiürítik a számlát.
A szervezetek védelméhez a következőket javasolja a Kaspersky:
- Részesítsék a munkavállalókat kiberbiztonsági alapismeretekkel foglalkozó képzésben, hiszen számos célzott támadás indul adathalászattal vagy más pszichológiai manipulációs technikákkal.
- Végezzék el a hálózataik kiberbiztonsági auditját, és orvosolják a periméterben vagy a hálózaton belül
- A bővítmény injektálását nehéz manuálisan megtalálni, kivéve, ha valaki nagyon jól ismeri a Metamask kódbázisát. A Chrome bővítmény módosítása azonban nyomot hagy. A böngészőt fejlesztői módba kell átállítani, és a Metamask bővítményt nem az online áruházból, hanem egy helyi könyvtárból kell feltelepíteni. Ha a bővítmény az áruházból származik, a Chrome digitális aláírás-hitelesítést kényszerít ki a kódhoz, és garantálja a kód integritását. Ezért, ha kétségeik vannak, ellenőrizzék most rögtön a Metamask bővítményt és a Chrome beállításait.
- Telepítsenek APT elleni és EDR megoldásokat, amelyek lehetővé teszik a fenyegetések felfedezését és észlelését, valamint az incidensek kivizsgálását és időben történő orvoslását. A biztonsági operációs központok (SOC) csapatainak adjanak hozzáférést a legújabb fenyegetéselemzési adatokhoz, és rendszeresen biztosítsanak számukra szakmai továbbképzést.