Les comptes en cryptomonnaies de certaines PME ont été vidés lors d’attaques informatiques, et les pertes ont été importantes. Les experts de Kaspersky ont découvert une série d’attaques de menaces persistantes avancées (APT), lancées par BlueNoroff, contre des petites et moyennes entreprises du monde entier, qui ont entraîné d’importantes pertes de crypto-monnaie pour les victimes. La campagne, appelée SnatchCrypto, s’adresse à diverses entreprises qui, de par la nature de leur travail, traitent des crypto-monnaies et des contrats intelligents, DeFi, Blockchain et de l’industrie FinTech. Dans la dernière campagne BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant pour les entreprises ciblées en leur envoyant un virus de porte dérobée sur Windows avec des fonctions de surveillance, sous le couvert d’un « contrat » ou d’un autre document commercial. Afin de vider à terme le portefeuille cryptographique de la victime, l’attaquant a développé des ressources importantes et dangereuses : infrastructure complexe, exploits, implants de logiciels malveillants.
BlueNoroff fait partie de l’organisation Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe Lazarus APT est connu pour ses attaques contre les banques et les serveurs connectés à SWIFT et s’est même engagé dans la création de sociétés de contrefaçon pour le développement de logiciels de crypto-monnaie. Les clients trompés ont ensuite installé des applications d’apparence légitime et, après un certain temps, ont reçu des mises à jour de porte dérobée.
Maintenant, cette « branche » du groupe Lazarus a commencé à s’attaquer aux start-up de crypto-monnaie. Étant donné que la plupart des entreprises de crypto-monnaie sont de petites et moyennes entreprises en démarrage, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Les attaquants comprennent ce point et en profitent, en utilisant des schémas d’ingénierie sociale élaborés. Afin de gagner la confiance de la victime, BlueNoroff prétend être une société d’investissement en capital-risque. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises dont les noms de marque et d’employés ont été abusés lors de la campagne SnatchCrypto. Les experts de Kaspersky estiment également que toutes les entreprises réelles utilisées n’ont rien à voir avec cette attaque ou les e-mails envoyés. Le domaine des start-up de crypto-monnaie a été choisi par les cybercriminels pour une raison simple : ces entreprises reçoivent fréquemment des messages ou des fichiers de sources inconnues.
Si le document était ouvert hors ligne, il n’y aurait aucun danger – très probablement, il ressemblerait à une copie d’une sorte de contrat ou d’un autre document inoffensif. Mais si l’ordinateur est connecté à Internet lorsque le fichier est ouvert, un autre document prenant en charge les macros est téléchargé sur l’appareil de la victime, implémentant un logiciel malveillant. Ce groupe APT a différentes méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. En plus des documents Word dangereux, l’acteur diffuse également des logiciels malveillants déguisés en fichiers de raccourcis Windows archivés. Envoyez les informations générales de la victime à l’agent Powershell, qui crée ensuite une porte dérobée complète. Grâce à cela, BlueNoroff implémente d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe et une capture d’écran.
Les attaquants traquent ensuite les victimes pendant des semaines, voire des mois : collectent des informations sur les touches pressées par l’utilisateur et surveillent leurs opérations quotidiennes, tout en planifiant une stratégie de vol financier. Lorsqu’ils trouvent une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles cryptographiques (par exemple, l’extension Metamask), ils remplacent le composant principal de l’extension par une fausse version. Selon les enquêteurs, les attaquants reçoivent une notification lorsqu’ils découvrent des transferts importants. Lorsque l’utilisateur compromis tente de transférer des fonds vers un autre compte, il intercepte le processus de transaction et injecte sa propre logique. Pour terminer le paiement initié, l’utilisateur clique sur le bouton « approuver ». A ce stade, les cybercriminels changent l’adresse du destinataire et maximisent le montant de la transaction, c’est-à-dire vident le compte en une seule fois.
