BlueNoroffs zoektocht naar cryptocurrency

Onze experts hebben een schadelijke campagne ontdekt die zich richt op fintech-bedrijven.

Onze experts hebben een schadelijke campagne bestudeerd die gericht is op bedrijven die met cryptocurrencies, smart contracts, gedecentraliseerde financiën en blockchain-technologie werken. De aanvallers zijn geïnteresseerd in fintech in het algemeen, en de campagne met de naam SnatchCrypto is gerelateerd aan de BlueNoroff APT-groep, een bekende entiteit die al is getraceerd naar de aanval op de centrale bank van Bangladesh in 2016.

De doelen van SnatchCrypto

De cybercriminelen achter deze campagne hebben twee doelen: het verzamelen van informatie en het stelen van cryptocurrency. Ze zijn vooral geïnteresseerd in het verzamelen van gegevens over gebruikersaccounts, IP-adressen en sessie-informatie, en ze stelen configuratiebestanden van programma’s die direct met cryptocurrency werken en inloggegevens en andere informatie over accounts kunnen bevatten. De aanvallers bestuderen zorgvuldig potentiële slachtoffers, en volgen hun activiteiten soms maandenlang.

Een van hun methoden bestaat uit manipulaties met populaire browserextensies voor het beheer van cryptowallets. Ze kunnen bijvoorbeeld de bron van een extensie wijzigen in de browserinstellingen, zodat deze wordt geïnstalleerd vanuit lokale opslag (d.w.z. een gewijzigde versie) in plaats van de officiële webwinkel. Ze kunnen ook de aangepaste Metamask-extensie voor Chrome gebruiken om de transactielogica te vervangen, waardoor ze zelfs geld kunnen stelen van degenen die hardware-apparaten gebruiken om cryptocurrency-overboekingen te ondertekenen.

De invasiemethoden van BlueNoroff

De aanvallers bestuderen hun slachtoffers zorgvuldig en gebruiken de verkregen informatie om aanvallen met gebruik van social engineering uit te voeren. Meestal stellen ze e-mails op die eruitzien alsof ze van bestaande risicokapitaalbedrijven afkomstig zijn, maar dan met een bijgevoegd document met macro’s. Wanneer dit document geopend wordt, downloadt het een achterdeur. Voor gedetailleerde technische informatie over de aanval en de methoden van de aanvallers, leest u het rapport van Securelist, “The BlueNoroff cryptocurrency hunt is still on.”

Zo beschermt u uw bedrijf tegen SnatchCrypto-aanvallen

Een duidelijk teken van SnatchCrypto-activiteit is een gewijzigde Metamask-extensie. Om deze te gebruiken, moeten aanvallers de browser in de ontwikkelaarsmodus zetten en de Metamask-extensie vanuit een lokale directory installeren. U kunt dat gemakkelijk controleren: Als de browsermodus zonder uw toestemming is omgeschakeld en de extensie vanuit een lokale directory wordt geladen, dan is uw apparaat waarschijnlijk gecompromitteerd.

Daarnaast bevelen wij de volgende standaard beschermingsmaatregelen aan:

  • Zorg op periodieke wijze voor bewustzijn op het gebied van cybersecurity onder uw werknemers;
  • Werk kritieke toepassingen (waaronder het besturingssysteem en kantoorprogramma’s) onmiddellijk bij;
  • Rust elke computer met internettoegang uit met een betrouwbare beveiligingsoplossing;
  • Gebruik een EDR-oplossing (indien geschikt voor uw infrastructuur) die u in staat stelt complexe bedreigingen te detecteren en helpt om hier tijdig op te reageren.
Tips