La recherche de cryptodevises de BlueNoroff

Nos experts ont découvert une campagne malveillante visant les entreprises de fintech.

Nos experts ont étudié une campagne mal intentionnée ciblant les entreprises qui travaillent avec les cryptodevises, les contrats intelligents, la finance décentralisée et la technologie blockchain. Les attaquants s’intéressent à la fintech en général, et la campagne, nommée SnatchCrypto, est liée au groupe APT BlueNoroff, une entité connue déjà tracée jusqu’à l’attaque de 2016 contre la banque centrale du Bangladesh.

Les objectifs de SnatchCrypto

Les cybercriminels à l’origine de cette campagne ont deux objectifs : collecter des informations et voler des cryptodevises. Ils s’intéressent principalement à la collecte de données sur les comptes d’utilisateurs, les adresses IP et les informations de session, et volent les fichiers de configuration des programmes qui travaillent directement avec les cryptodevises et peuvent contenir des informations d’identification et d’autres informations sur les comptes. Les attaquants étudient attentivement les victimes potentielles, en surveillant parfois leur activité pendant des mois.

L’une de leurs méthodes consiste à manipuler les extensions de navigateur populaires pour la gestion des cryptomonnaies. Par exemple, ils peuvent modifier la source d’une extension dans les paramètres du navigateur afin qu’elle soit installée à partir d’un stockage local (c’est-à-dire qu’il s’agit d’une version modifiée) et non à partir de la boutique en ligne officielle. Ils peuvent également utiliser l’extension Metamask modifiée pour Chrome pour remplacer la logique de transaction, ce qui leur permet de voler des fonds même auprès de ceux qui utilisent des dispositifs matériels pour signer les transferts de cryptodevises.

Les méthodes de propagation de BlueNoroff

Les attaquants étudient soigneusement leurs victimes et utilisent les informations qu’ils obtiennent pour déployer des attaques d’ingénierie sociale. Ils rédigent généralement des courriels qui semblent provenir de sociétés de capital-risque existantes, mais qui contiennent en pièce jointe un document activé par macro. Une fois ouvert, ce document télécharge une porte dérobée. Pour des informations techniques détaillées au sujet de l’attaque et des méthodes des attaquants, voir le rapport de Securelist  » La chasse aux cryptodevises de BlueNoroff continue « .

Comment protéger votre entreprise des attaques de SnatchCrypto ?

L’extension Metamask modifiée est un signe évident de l’activité de SnatchCrypto. Pour l’utiliser, les attaquants doivent mettre le navigateur en mode développeur et installer l’extension Metamask depuis un répertoire local. Vous pouvez facilement vérifier si cela a eu lieu : si le mode du navigateur a été basculé sans votre autorisation et que l’extension est chargée depuis un répertoire local, votre appareil est probablement compromis.

En outre, nous vous recommandons d’appliquer les mesures de protection standard suivantes :

  • Sensibilisez régulièrement vos employés à la cybersécurité;
  • Mettez rapidement à jour les applications critiques (y compris le système d’exploitation et les suites bureautiques);
  • Équipez chaque ordinateur qui a accès à Internet d’une solution de sécurité fiable;
  • Utilisez une solution EDR (si cela est approprié pour votre infrastructure) qui vous permette de détecter des menaces complexes et assurer des réponses rapides.
Conseils