Pozor na nového zloděje kryptoměn: BlueNoroff drancuje účty finančních startupů

Pozor na nového zloděje kryptoměn: BlueNoroff drancuje účty finančních startupů

Série útoků, při nichž došlo k velkým finančním ztrátám v kryptoměnách, nazvaná SnatchCrypto se zaměřuje na menší a středně velké společnosti, které podnikají v oblasti kryptoměn a chytrých kontraktů, decentralizovaných financí (DeFi), blockchainu a finančních technologií (FinTech). Jejich původce, aktéra pokročilých perzistentních hrozeb (APT) BlueNoroff, odhalili experti společnosti Kaspersky.

Útočníci v nejnovější kampani BlueNoroff nenápadně zneužívají důvěřivosti zaměstnanců vytipovaných společností a pod hlavičkou „smlouvy“ nebo jiného obchodního dokumentu jim posílají sofistikovaný backdoor pro Windows se sledovacími funkcemi. Pro následné vykradení kryptopeněženky oběti vyvinuli pachatelé rozsáhlé a nebezpečné prostředky – komplexní infrastrukturu, exploity a malwarové implantáty.

Tvůrcem je skupina Lazarus ze Severní Koreje

BlueNoroff je produktem velké hackerské skupiny Lazarus a využívá její diverzifikovanou strukturu a důmyslné útočné technologie. APT skupina Lazarus je známá útoky na banky a servery napojené na SWIFT, a dokonce se zapojila do vytváření falešných společností pro vývoj kryptoměnového softwaru. Podvedení klienti si pak nainstalovali legitimně vypadající aplikace a po nějaké době dostali jejich aktualizace „obohacené“ backdoorem.

Nyní tato část skupiny Lazarus přešla k útokům na kryptoměnové startupy. Většina kryptoměnových firem jsou malé nebo středně velké startupy a nemohou proto investovat spoustu peněz do svého interního bezpečnostního systému. Útočníci o této situaci vědí a využívají toho pomocí propracovaných schémat sociálního inženýrství.

BlueNoroff oklame svou oběť tím, že předstírá existující společnost s venture kapitálem, používaným k financování začínajících firem. Výzkumníci společnosti Kaspersky odhalili více než 15 venture společností, jejichž značky a jména zaměstnanců byly během kampaně SnatchCrypto zneužity. Podle jejich názoru však skutečné společnosti nemají s tímto útokem ani e-maily nic společného. Sektor kryptoměnových startupů si kyberzločinci vybrali záměrně, protože startupy často dostávají dopisy nebo soubory z neznámých zdrojů. Investiční společnost jim například může poslat smlouvu nebo jiné soubory související s podnikáním. Aktér APT toho využívá jako návnady, aby přiměl oběti otevřít přílohu e-mailu, již tvoří dokument obsahující škodlivé makro.

Pokud by byl soubor otevřen off-line, nepředstavoval by nic nebezpečného – s největší pravděpodobností by vypadal jako kopie nějaké smlouvy nebo jiného neškodného dokumentu. Pokud je však počítač v době otevření souboru připojen k internetu, do zařízení oběti se načte jiný dokument s makrem, které nasadí malware.

Krádeži předchází týdny a měsíce pečlivého sledování oběti

Tato APT skupina má ve svém infekčním arzenálu různé metody a infekční řetězec sestavuje podle aktuální situace. Kromě infekčních wordových dokumentů šíří také malware maskovaný jako zazipované soubory zástupců ve Windows. Tento malware odesílá obecné informace oběti a spustí agenta v prostředí Powershell, který pak vytvoří plnohodnotný backdoor. Pomocí něj BlueNoroff nasazuje další nástroje pro sledování oběti: keylogger a pořizovač screenshotů.

Útočníci pak sledují oběti týdny i měsíce – nahrávají stisky kláves, sledují každodenní operace uživatele a zároveň plánují strategii pro finanční krádež. Když najdou vhodný cíl, který používá populární rozšíření prohlížeče pro správu kryptopeněženek (například MetaMask), nahradí hlavní komponentu rozšíření falešnou verzí.

Zfalšují skutečnou transakci, jen změní účet a částku

Podle výzkumníků dostanou útočníci po zjištění velkých finančních převodů oznámení o transakci. Když se napadený uživatel pokusí převést nějaké prostředky na jiný účet, útočníci zachytí proces transakce a vloží do něj vlastní příkazy. V okamžiku, kdy uživatel pro dokončení iniciované platby klikne na potvrzovací tlačítko, kyberzločinci změní adresu příjemce a maximalizují částku transakce, čímž v podstatě vyčerpají naráz celý účet oběti.

„Vzhledem k tomu, že útočníci neustále přicházejí se spoustou nových metod pro oklamání a zneužití obětí, měly by i malé firmy vzdělávat své zaměstnance v základních postupech kybernetické bezpečnosti. Zvláště důležité je to v případě, že firma pracuje s kryptoměnovými peněženkami – na používání kryptoměnových služeb a rozšíření do prohlížečů není nic špatného, mějte však na paměti, že je to také atraktivní cíl pro APT i kyberzločince. Proto je třeba tento sektor dobře chránit,“ říká Seongsu Park, bezpečnostní analytik z týmu GReAT (Global Research and Analysis Team) společnosti Kaspersky.

Přečtěte si celou zprávu o BlueNoroff na webu Securelist.com.

Pokud se chcete lépe ochránit před hrozbou BlueNoroff, zvažte následující doporučení společnosti Kaspersky:

• Zajistěte svým zaměstnancům základní školení o kybernetické bezpečnosti, protože mnoho cílených útoků začíná phishingem nebo jinými technikami sociálního inženýrství.

• Proveďte audit kybernetické bezpečnosti vašich sítí a napravte všechny nedostatky zjištěné na okraji nebo uvnitř sítě.

• Infekci v rozšíření prohlížeče je obtížné najít manuálně, pokud nejste dobře obeznámeni s kódovou základnou peněženky MetaMask. Modifikace rozšíření pro Chrome však zanechává stopy. Prohlížeč musí být přepnut do režimu pro vývojáře a rozšíření MetaMask se namísto z on-line obchodu nainstaluje z místního adresáře. Pokud doplněk pochází z obchodu, Chrome si vynutí ověření digitálního podpisu kódu a zaručí jeho integritu. Pokud tedy máte pochybnosti, zkontrolujte ihned rozšíření MetaMask a nastavení prohlížeče Chrome.

• Nainstalujte řešení pro potlačení pokročilých perzistentních hrozeb (APT) a ochranu koncových bodů (EDR), která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení. Vše výše uvedené je k dispozici v rámci Kaspersky Expert Security framework.

• Spolu s vhodnou ochranou koncových bodů mohou proti útokům na vysoce postavené cíle pomoci také specializované služby. Identifikovat a zastavit útoky již v jejich rané fázi, než útočníci dosáhnou zamýšlených cílů, dokáže například nástroj Kaspersky Managed Detection and Response.

Kaspersky

Kaspersky je globální společnost zaměřená na kybernetickou bezpečnost, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují do inovativních bezpečnostních řešení a služeb na ochranu firem, kritické infrastruktury, vlád a dalších uživatelů po celém světě. Komplexní portfolio zabezpečení, jejž tato společnost nabízí, zahrnuje špičkovou ochranu koncových bodů a řadu specializovaných bezpečnostních řešení a služeb, jež pomáhají čelit sofistikovaným digitálním hrozbám, jakkoli se neustále proměňují. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a 240 000 firemním klientům přináší ochranu všeho, co je pro ně v digitální oblasti nejcennější.

Zdroj informací

Kaspersky a NejBusiness.cz

Datum

16. ledna 2022

Sociální sítě NejBusiness.cz

Přihlášení

Přihlášení
E-mail:
Heslo:

Doporučujeme

Zajímavosti a tiskové zprávy

5. července 2024

Výroba vozidel v Česku nadále roste

V České republice bylo v prvních pěti měsících vyrobeno 651 935 osobních vozidel. To je téměř o 10 % víc...

30. června 2024

Největší fotovoltaický střešní projekt v Česku: V CTParku Bor na Plzeňku

Přední evropská developerská společnost CTP vybudovala bez využití finanční dotace dosud nejrozsáhlejší...

13. června 2024

Skanska uvádí na trh novou lokalitu, Habitat Malešice nabídne multifázový projekt s více než 1 000 byty

Skanska představuje svůj doposud největší rezidenční projekt s názvem Habitat a spouští prodej první...

24. května 2024

NOBO AUTOMOTIVE bude vyrábět sedladla pro BMW v GARBE PARKU České Budějovice

Společnost GARBE, specialista na logistické a průmyslové nemovitosti ve střední a východní Evropě,...

20. května 2024

Bonami expanduje do Itálie

onami, prodejce nábytku dekorací a vybavení do domácnosti, se rozšiřuje na další trh, tentokrát do Itálie....

10. května 2024

Investiční fond Vetfund otevírá nejmodernější veterinární kliniku v ČR

V Praze na Palmovce zahájila od května svou činnost nejmodernější veterinární klinika v České republice....

2. května 2024

VDT Technology dokončila projekt digitálního dvojčete úpravny vody

VDT Technology, vývojář digitálních aplikací pro vodárenský průmysl, dokončil spolu s partnery inovativní...

23. dubna 2024

Klimatická neutralita ve stavebnictví. STRABAG chce dosáhnout zdánlivě nemožného do roku 2040

Odvětví stavebnictví patří s podílem téměř 38 % na celosvětových emisích k největším znečišťovatelům...

17. dubna 2024

Bonett pod vlastní značkou otevírá první dvě CNG stanice na Slovensku

Přední český dodavatel alternativních pohonných hmot Bonett vstupuje se svojí značkou na slovenský trh....

12. dubna 2024

ČEPRO spouští prodej nového paliva se 100% obsahem HVO

Společnost ČEPRO od dubna pro své velkoobchodní zákazníky nabízí nové palivo s obchodním označením HVO...

Reklama

Page generated in 1.6164 seconds.
Redakční systém teal.cz naprogramoval Vítězslav Dostál