31,3 тыс подписчиков

Охота за криптовалютой

19 января 202219 янв 2022

113

2 мин

Наши эксперты обнаружили вредоносную кампанию, нацеленную на финтех. Эксперты исследовали вредоносную кампанию, нацеленную на компании, работающие с криптовалютой, децентрализованными финансами, смарт- контрактами, блокчейном. Одним словом, на финтех. По ряду признаков эта кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая в 2016 стояла за атакой на центральный банк Бангладеш. Цели кампании SnatchCrypto Кампания пытается решить две задачи: собрать информацию и присвоить криптовалюту. Из информации их интересуют учетные записи, IP-адреса, информация о сессиях, конфигурационные файлы программ, работающих с криптовалютой (они могут содержать учетные данные и другие данные об аккаунтах). Мошенники тщательно изучают жертв, иногда мониторя их активность месяцами. Один методов группы связан с популярными браузерными расширениями для управления криптокошельками. Источник расширения в настройках меняют с официального ве

Оглавление

Наши эксперты обнаружили вредоносную кампанию, нацеленную на финтех.
Цели кампании SnatchCrypto
Как группировка проникает в сеть жертвы

Наши эксперты обнаружили вредоносную кампанию, нацеленную на финтех.

Эксперты исследовали вредоносную кампанию, нацеленную на компании, работающие с криптовалютой, децентрализованными финансами, смарт- контрактами, блокчейном. Одним словом, на финтех. По ряду признаков эта кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая в 2016 стояла за атакой на центральный банк Бангладеш.

Цели кампании SnatchCrypto

Кампания пытается решить две задачи: собрать информацию и присвоить криптовалюту. Из информации их интересуют учетные записи, IP-адреса, информация о сессиях, конфигурационные файлы программ, работающих с криптовалютой (они могут содержать учетные данные и другие данные об аккаунтах). Мошенники тщательно изучают жертв, иногда мониторя их активность месяцами.

Один методов группы связан с популярными браузерными расширениями для управления криптокошельками. Источник расширения в настройках меняют с официального веб-магазина на локальное хранилище и так его замещают на собственную версию. Далее ее используют для мониторинга транзакций. С помощью расширения Metamask на Chrome они подменяют логику транзакций. Этот метод позволяет похитить средства из кошелька, даже если хозяин применяет аппаратный кошелек для подписи переводов криптовалюты.

Как группировка проникает в сеть жертвы

Злоумышленники тщательно изучают деятельность намеченной жертвы и применяют социальную инженерию. Они имитируют письма от венчурных компаний,высылают документы с макросами, открытие которых приводит к загрузке бэкдора. Подробную информацию о технических деталях атаки и уловках злоумышленников можно найти в посте на сайте Securelist.

Как защититься от атак SnatchCrypto

Один из явных признаков SnatchCrypto — появление модифицированного расширения Metamask. Для этого мошенники переводят браузер в режим разработчика и устанавливают расширение из локального каталога, а не из онлайн-репозитория. Это легко проверить: если режим переключен без вашего ведома, а расширение подгружено из локального каталога, значит, дело не чисто.

Кроме того, не следует пренебрегать стандартными защитными мерами:

Обучать сотрудников основам кибербезопасности.
Своевременно обновлять критически важные приложения (в том числе ОС и офисный пакет).
Снабжать все компьютеры с выходом в Интернет надежным защитным решением.
Использовать EDR-решение, которое умеет выявлять сложные угрозы, а также облегчаетт расследование и реагирование на киберинциденты.