Les experts de Kaspersky ont découvert une série d’attaques menées par le groupe de menaces persistantes avancées (APT) BlueNoroff contre des petites et moyennes entreprises du monde entier, entraînant des pertes importantes de crypto-monnaies pour les victimes. La campagne, baptisée SnatchCrypto, vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la DeFi, la blockchain et l’industrie FinTech.
Dans la campagne la plus récente de BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une backdoor Windows complète avec des fonctions de surveillance sous la forme d’un “contrat” ou d’un autre fichier commercial. Afin de vider les portefeuilles de crypto-monnaies de ses victimes, le groupe a développé des ressources étendues et dangereuses : infrastructures complexes, exploits, implants de logiciels malveillants.
BlueNoroff fait partie du groupe Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe APT Lazarus est connu pour ses attaques contre des banques et des serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients escroqués installaient ensuite des applications d’apparence légitime et, après un certain temps, recevaient des mises à jour dissimulant des backdoors.
Cette “branche” de Lazarus est passée à l’attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d’ingénierie sociale élaborés.
Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises de capital-risque, dont la marque et les noms des employés ont été utilisés de manière abusive pendant la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les entreprises réelles n’ont rien à voir avec cette attaque ou les e-mails. La sphère des start-ups crypto a été choisie par les cybercriminels pour une raison précise : les start-ups reçoivent souvent des lettres ou des fichiers provenant de sources inconnues. Par exemple, une société à capital-risque peut leur envoyer un contrat ou d’autres fichiers liés aux affaires. L’organisation APT s’en sert comme appât pour inciter les victimes à ouvrir la pièce jointe de l’e-mail – un document contenant des macros.
Si le document devait être ouvert hors ligne, le fichier ne représenterait rien de dangereux – il ressemblerait très probablement à la copie d’un contrat ou d’un autre document inoffensif. Mais si l’ordinateur est connecté à Internet au moment de l’ouverture du fichier, un autre document activé par une macro est récupéré sur l’appareil de la victime, déployant ainsi un malware.
Ce groupe APT dispose de plusieurs méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word piégés, l’acteur diffuse également des logiciels malveillants déguisés en raccourcis Windows zippés. Il envoie les informations générales de la victime et l’agent Powershell, qui crée ensuite une porte dérobée complète. À l’aide de celle-ci, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe (keylogger) et un logiciel de capture d’écran.
Ensuite, les attaquants suivent les victimes pendant des semaines et des mois : ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l’utilisateur, tout en planifiant une stratégie de vol financier. Ayant trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles de crypto-monnaies (par exemple, l’extension Metamask), ils remplacent le composant principal de l’extension par une fausse version.
Selon les chercheurs, les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, ils interceptent le processus de transaction et injectent leur propre logiciel. Pour terminer le paiement initié, l’utilisateur clique ensuite sur le bouton “approuver”. À ce moment-là, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, vidant ainsi le compte en un seul geste.
Communiqué