IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Le groupe de menaces persistantes avancées (APT) BlueNoroff mène une série d'attaques pour dérober les crypto-monnaies des startups
Une campagne baptisée SnatchCrypto, d'après Kaspersky

Le , par Sandra Coret

0PARTAGES

4  0 
Les experts de Kaspersky ont découvert une série d'attaques menées par le groupe de menaces persistantes avancées (APT) BlueNoroff contre des petites et moyennes entreprises du monde entier, entraînant des pertes importantes de crypto-monnaies pour les victimes.

La campagne, baptisée SnatchCrypto, vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la DeFi, la blockchain et l'industrie FinTech.

Dans la campagne la plus récente de BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une backdoor Windows complète avec des fonctions de surveillance sous la forme d'un "contrat" ou d'un autre fichier commercial. Afin de vider les portefeuilles de crypto-monnaies de ses victimes, le groupe a développé des ressources étendues et dangereuses : infrastructures complexes, exploits, implants de logiciels malveillants.

BlueNoroff fait partie du groupe Lazarus et utilise sa structure diversifiée et ses technologies d'attaque sophistiquées. Le groupe APT Lazarus est connu pour ses attaques contre des banques et des serveurs connectés à SWIFT, et s'est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients escroqués installaient ensuite des applications d'apparence légitime et, après un certain temps, recevaient des mises à jour dissimulant des backdoors.

Cette "branche" de Lazarus est passée à l'attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d'ingénierie sociale élaborés.

Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises de capital-risque, dont la marque et les noms des employés ont été utilisés de manière abusive pendant la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les entreprises réelles n'ont rien à voir avec cette attaque ou les e-mails. La sphère des start-ups crypto a été choisie par les cybercriminels pour une raison précise : les start-ups reçoivent souvent des lettres ou des fichiers provenant de sources inconnues. Par exemple, une société à capital-risque peut leur envoyer un contrat ou d'autres fichiers liés aux affaires. L’organisation APT s'en sert comme appât pour inciter les victimes à ouvrir la pièce jointe de l'e-mail - un document contenant des macros.


Un utilisateur attentif peut se rendre compte que quelque chose de louche se passe alors que MS Word affiche une fenêtre popup de chargement standard.

Si le document devait être ouvert hors ligne, le fichier ne représenterait rien de dangereux - il ressemblerait très probablement à la copie d'un contrat ou d'un autre document inoffensif. Mais si l'ordinateur est connecté à Internet au moment de l'ouverture du fichier, un autre document activé par une macro est récupéré sur l'appareil de la victime, déployant ainsi un malware.

Ce groupe APT dispose de plusieurs méthodes dans son arsenal d'infection et assemble la chaîne d'infection en fonction de la situation. Outre les documents Word piégés, l'acteur diffuse également des logiciels malveillants déguisés en raccourcis Windows zippés. Il envoie les informations générales de la victime et l'agent Powershell, qui crée ensuite une porte dérobée complète. À l'aide de celle-ci, BlueNoroff déploie d'autres outils malveillants pour surveiller la victime : un enregistreur de frappe (keylogger) et un logiciel de capture d'écran.

Ensuite, les attaquants suivent les victimes pendant des semaines et des mois : ils collectent les frappes au clavier et surveillent les opérations quotidiennes de l'utilisateur, tout en planifiant une stratégie de vol financier. Ayant trouvé une cible importante qui utilise une extension de navigateur populaire pour gérer les portefeuilles de crypto-monnaies (par exemple, l'extension Metamask), ils remplacent le composant principal de l'extension par une fausse version.

Selon les chercheurs, les attaquants reçoivent une notification lorsqu'ils découvrent des transferts importants. Lorsque l'utilisateur compromis tente de transférer des fonds vers un autre compte, ils interceptent le processus de transaction et injectent leur propre logiciel. Pour terminer le paiement initié, l'utilisateur clique ensuite sur le bouton "approuver". À ce moment-là, les cybercriminels changent l'adresse du destinataire et maximisent le montant de la transaction, vidant ainsi le compte en un seul geste.


Le groupe est actuellement actif et attaque les utilisateurs quel que soit leur pays d'origine.

"Comme les attaquants trouvent sans cesse de nouveaux moyens de tromper et de détourner, même les petites entreprises devraient former leurs employés aux pratiques de base en matière de cybersécurité. C'est particulièrement essentiel si l'entreprise travaille avec des portefeuilles de crypto-monnaies : il n'y a rien de mal à utiliser des services et des extensions de crypto-monnaies, mais notez que c'est aussi une cible attrayante pour les groupes APT et les cybercriminels. Par conséquent, ce secteur doit être bien protégé", commente Seongsu Park, senior security researcher, Kaspersky’s Global Research and Analysis Team (GReAT) de Kaspersky.

Pour la protection des organisations, Kaspersky suggère les mesures suivantes :

  • Offrez à votre personnel une formation de base sur les principes d'hygiène en matière de cybersécurité, car de nombreuses attaques ciblées commencent par du phishing ou d'autres techniques d'ingénierie sociale ;
  • Réalisez un audit de cybersécurité de vos réseaux et remédiez à toutes les faiblesses découvertes dans le périmètre ou à l'intérieur du réseau.
  • L'injection de l'extension est difficile à trouver manuellement, sauf si vous êtes très familier avec la base de code de Metamask. Cependant, une modification de l'extension Chrome laisse une trace. Le navigateur doit passer en mode développeur et l'extension Metamask est installée depuis un répertoire local au lieu du store en ligne. Si l'extension provient de ce dernier, Chrome applique la validation de la signature numérique pour le code et garantit son intégrité. Donc, si vous avez un doute, vérifiez dès maintenant votre extension Metamask et les paramètres de Chrome.
  • Installez des solutions anti-APT et EDR, permettant la découverte et la détection des menaces, l'investigation et la remédiation rapide des incidents. Fournissez à votre équipe SOC un accès aux dernières informations sur les menaces et proposez-lui régulièrement des formations professionnelles.
  • En plus d'une protection appropriée des terminaux, des solutions dédiées peuvent vous aider à lutter contre les attaques de grande envergure. La solution Kaspersky Managed Detection and Response permet d'identifier et de stopper les attaques à un stade précoce, avant que les attaquants ne parviennent à leurs fins.


A propos de Kaspersky

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde.

Source : Kaspersky

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Une fausse application sur l'App Store d'Apple escroque un utilisateur et lui vole ses 17,1 bitcoins, soit un peu plus de 600 000 dollars au moment du vol

97 millions de dollars volés sur un marché japonais de cryptomonnaies, 45 millions de dollars étaient constitués de jetons Ethereum

« Tous mes singes ont disparu » : des voleurs s'emparent de la collection NFT de plusieurs millions de dollars d'un galeriste, qui aurait été victime d'une attaque d'hameçonnage

Plus de 12 milliards de dollars de cryptomonnaie ont été volés au cours de la dernière décennie, dont 40 % étaient directement liés à des échanges frauduleux, selon CrystalBlockChain

Des hackers dérobent le contenu des portefeuilles crypto en envoyant des NFT gratuits aux utilisateurs d'OpenSea
Le plus grand marché de NFT au monde

Une erreur dans cette actualité ? Signalez-nous-la !