NewsSicurezza

Kaspersky: startup di criptovalute prese di mira dal threat actor BlueNoroff

Gli aggressori inviano una backdoor Windows completa di funzioni di sorveglianza

I ricercatori Kaspersky hanno scoperto una serie di attacchi da parte del grupp APT (Advanced Persistent Threat) BlueNoroff. La campagna, soprannominata SnatchCrypto, ha preso di mira startup che utilizzano criptovalute e contratti smart, DeFi, Blockchain e anche aziende del settore FinTech.

Nella campagna più recente di BlueNoroff, gli aggressori abusano sottilmente della fiducia dei dipendenti che lavorano in aziende precedentemente individuatate inviando loro una backdoor Windows a tutti gli effetti con funzionalità di spionaggio via e-mail. I contenuti di queste e-mail di solito si riferiscono a contratti o altre informazioni commerciali. Per svuotare eventualmente il portafoglio di criptovalute della vittima, l’attaccante ha sviluppato mezzi elaborati e pericolosi: infrastrutture complesse, exploit e malware.

BlueNoroff fa parte del più ampio gruppo di hacker Lazarus e utilizza la loro struttura diversificata con sofisticate tecnologie di attacco. Il gruppo BlueNoroff APT è noto per attacchi a banche e server collegati a SWIFT. Il gruppo è stato persino coinvolto nella creazione di società di sviluppo di software per criptovalute false. I clienti ingannati hanno quindi installato app dall’aspetto legittimo e hanno ricevuto aggiornamenti “backdoor” nel tempo.

Ora questo “ramo” di Lazarus è passato ad attaccare le startup di criptovalute. Poiché la maggior parte di queste società sono di piccole o medie dimensioni, non possono investire molti soldi nel loro sistema di sicurezza interno. L’attaccante utilizza questa “debolezza” e la sfrutta attraverso schemi di ingegneria sociale.

Kaspersky: ecco come agisce BlueNoroff

Per guadagnare la fiducia della vittima, secondo gli esperti di Kaspersky, BlueNoroff si finge una società di venture capital realmente esistente. I ricercatori di Kaspersky hanno scoperto più di 15 società di venture capital i cui nomi di marchi e dipendenti sono stati utilizzati in modo improprio durante la campagna SnatchCrypto. Gli esperti di Kaspersky ritengono inoltre che le aziende reali non abbiano nulla a che fare con questo attacco o le e-mail inviate dagli hacker. I criminali informatici hanno scelto le startup di criptovalute per un motivo bene preciso: spesso ricevono mail o file da fonti sconosciute. Ad esempio, una società di venture capital può inviare loro un contratto o altri file relativi all’attività. Il threat actor APT usa questo come esca per convincere le vittime ad aprire l’allegato e-mail, un documento contenente una macro.

Il documento se è aperto offline, non fa nulla di dannoso. Tuttavia, se il computer è connesso a Internet quando il file viene aperto, un altro documento abilitato alle macro viene scaricato sul dispositivo della vittima e di conseguenza viene installato il malware.

Image
La cartina mostra dove sono stati registrati gli attacchi di BlueNoroff

Kaspersky avverte anche che, oltre ai documenti Word con macro dannose, gli hacker distribuiscono anche malware camuffati da file di collegamento di Windows compressi. Questo invia informazioni generali dalla vittima al server degli aggressori, dopodiché la backdoor viene installata tramite PowerShell. Con questo, BlueNoroff implementa altri strumenti dannosi per monitorare la vittima, ovvero un keylogger e un creatore di screenshot.

“Poiché i criminali informatici sviluppano continuamente nuovi metodi per i loro attacchi, anche le piccole imprese dovrebbero formare i propri dipendenti sulla sicurezza informatica di base. È importante farlo soprattutto se l’azienda lavora con portafogli di criptovaluta: non c’è niente di sbagliato nell’usare servizi ed estensioni di questo genere, ma bisogna tenere in conto che costituiscono un’esca per le APT e i criminali informatici. Pertanto, questo settore deve essere ben protetto”, ha commentato Seongsu Park, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Il report completo su BlueNoroff è disponibile su Securelist.

Offerta
Kaspersky Total Security 2022 | 4 Dispositivi | 2 Anni | PC / Mac / Android | Codice d'attivazione via email
  • Difende da virus, cryptolocker e altri ransomware
  • Protegge la privacy, le password, i file e le foto
  • Protegge i risparmi quando acquisti o navighi nella tua banca online
  • Protegge più dispositivi
  • Protegge i tuoi bambini…online e non solo grazie al Kaspersky Safe Kids

Danilo Loda

100% "milanes", da una vita scrivo di bit e byte e di quanto inizia con on e finisce con off. MI piace tutto quello che fa rumore, meglio se con un motore a scoppio. Amo viaggiare (senza google Maps) lo sport, soprattutto se è colorato di neroazzuro.

Ti potrebbero interessare anche:

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.

Back to top button