Найти тему
Лаборатория Касперского
26,3 тыс подписчиков

Охота за криптовалютой

112
2 мин
Оглавление

Наши эксперты обнаружили вредоносную кампанию, нацеленную на финтех.

Эксперты исследовали вредоносную кампанию, нацеленную на компании, работающие с криптовалютой, децентрализованными финансами, смарт- контрактами, блокчейном. Одним словом, на финтех. По ряду признаков эта кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая в 2016 стояла за атакой на центральный банк Бангладеш.

Цели кампании SnatchCrypto

Кампания пытается решить две задачи: собрать информацию и присвоить криптовалюту. Из информации их интересуют учетные записи, IP-адреса, информация о сессиях, конфигурационные файлы программ, работающих с криптовалютой (они могут содержать учетные данные и другие данные об аккаунтах). Мошенники тщательно изучают жертв, иногда мониторя их активность месяцами.

Один методов группы связан с популярными браузерными расширениями для управления криптокошельками. Источник расширения в настройках меняют с официального веб-магазина на локальное хранилище и так его замещают на собственную версию. Далее ее используют для мониторинга транзакций. С помощью расширения Metamask на Chrome они подменяют логику транзакций. Этот метод позволяет похитить средства из кошелька, даже если хозяин применяет аппаратный кошелек для подписи переводов криптовалюты.

Как группировка проникает в сеть жертвы

Злоумышленники тщательно изучают деятельность намеченной жертвы и применяют социальную инженерию. Они имитируют письма от венчурных компаний,высылают документы с макросами, открытие которых приводит к загрузке бэкдора. Подробную информацию о технических деталях атаки и уловках злоумышленников можно найти в посте на сайте Securelist.

Как защититься от атак SnatchCrypto

Один из явных признаков SnatchCrypto — появление модифицированного расширения Metamask. Для этого мошенники переводят браузер в режим разработчика и устанавливают расширение из локального каталога, а не из онлайн-репозитория. Это легко проверить: если режим переключен без вашего ведома, а расширение подгружено из локального каталога, значит, дело не чисто.

Кроме того, не следует пренебрегать стандартными защитными мерами:

  • Обучать сотрудников основам кибербезопасности.
  • Своевременно обновлять критически важные приложения (в том числе ОС и офисный пакет).
  • Снабжать все компьютеры с выходом в Интернет надежным защитным решением.
  • Использовать EDR-решение, которое умеет выявлять сложные угрозы, а также облегчаетт расследование и реагирование на киберинциденты.
-2
Взгляните на эти темы
Гаджеты и электроника
Технологии и IT
Найти тему
Экономика
Умные колонки
Колонки и аудиосистемы
Графические планшеты
VR-очки
Смартфоны
Планшеты
Ноутбуки
Игровые консоли
Умные часы
Фитнес-трекеры
Камеры и фототехника
Наушники
Электронные книги
Социальные сети и мессенджеры
Языки программирования
Веб-разработка
Мобильная разработка
Экономика
10,02 млн интересуются