Strona w budowie, zapraszamy wkrótce...

Zapraszamy już za:

-808Dni -12Godzin -1Minut -54Sekund

 

 

Strona w budowie, zapraszamy wkrótce...

Cybergang BlueNoroff opróżnia konta startupów zajmujących się kryptowalutą – także w Polsce.

Mariusz Laurisz
Mariusz Laurisz
Z branżą nowych technologii związany od ponad dwóch dekad. Od czterech lat Redaktor Naczelny oraz Wydawca magazynu IT Reseller Polska.

Powiązane

Eksperci z firmy Kaspersky zidentyfikowali serię ataków przeprowadzonych przez zaawansowany cybergang BlueNoroff na małe i średnie firmy, które straciły w ich wyniku kryptowalutę. Cel tej kampanii, określanej jako SnatchCrypto, stanowiły różne firmy, które ze względu na charakter swojej działalności mają do czynienia z kryptowalutami oraz kontraktami inteligentnymi, DeFi, technologią Blockchain oraz branżą FinTech. Gang jest aktywny także w Polsce.

W swojej najnowszej kampanii ugrupowanie BlueNoroff wysyłało pracownikom atakowanych firm wyposażonego w funkcje inwigilacyjne trojana dla systemu Windows zamaskowanego jako „kontrakt” lub inny plik biznesowy. Cyberprzestępcy przygotowali również zasoby, takie jak złożona infrastruktura i szkodliwe narzędzia, które wykorzystali w celu opróżnienia kryptoportfela ofiary.

BlueNoroff należy do większego ugrupowania Lazarus i wykorzystuje jego różnorodną strukturę, jak również wyrafinowane technologie ataków. Lazarus znany jest z ataków na banki i serwery połączone z systemem SWIFT. Gang założył nawet fałszywe firmy zajmujące się rozwojem oprogramowania kryptowaluty. Klienci instalowali aplikacje wyglądające jak legalne narzędzia, a następnie otrzymywali aktualizacje, które zawierały trojany.

Obecnie BlueNoroff stanowi gałąź ugrupowania Lazarus, która atakuje startupy działające w obszarze kryptowaluty. Większość firm zajmujących się kryptowalutą to małe lub średnie startupy, których nie stać na zainwestowanie dużych środków w wewnętrzny system bezpieczeństwa. Cyberprzestępcy gangu Lazarus próbują to wykorzystać, posługując się wyrafinowaną socjotechniką.

Socjotechnika

W celu zdobycia zaufania ofiary cyberprzestępcy podszywają się pod spółkę kapitału podwyższonego ryzyka. W kampanii SnatchCrypto wykorzystano marki oraz nazwiska pracowników ponad 15 takich podmiotów. Badacze z firmy Kaspersky uważają, że firmy, pod które podszywali się cyberprzestępcy, nie mają nic wspólnego z omawianym atakiem ani wiadomościami e-mail. Startupy z branży kryptowaluty znalazły się na celowniku tego ugrupowania nie bez powodu: podmioty tego typu często otrzymują wiadomości lub pliki z nieznanych źródeł. Na przykład spółka kapitału podwyższonego ryzyka może wysłać im kontrakt lub inne pliki biznesowe. BlueNoroff wykorzystuje ten fakt jako przynętę, aby nakłonić potencjalne ofiary do otwarcia załącznika w wiadomości e-mail – dokumentu z obsługą makr.

Gdyby dokument został otwarty offline, plik nie stanowiłby żadnego niebezpieczeństwa – najprawdopodobniej wyglądałby na kopię jakiegoś kontraktu lub innego nieszkodliwego dokumentu. Jeśli jednak w momencie otwarcia pliku komputer jest połączony z internetem, na urządzanie ofiary zostaje pobrany dokument z obsługą makr i instaluje na nim szkodliwe oprogramowanie.

Metodologia

Omawiany cybergang posiada szereg metod w swoim arsenale, które pozwalają mu przygotować łańcuch infekcji w zależności od sytuacji. Poza „uzbrojonymi” dokumentami Worda rozprzestrzenia również szkodliwe oprogramowanie zamaskowane jako skompresowane pliki skrótu Windows. Wysyła ono ogólne informacje dotyczące ofiary i pobiera narzędzia dostosowane do konkretnej ofiary w celu wykonywania wielu szkodliwych operacji, m.in. przechwytywania znaków wprowadzanych z klawiatury i wykonywania zrzutów ekranu.

Następnie atakujący śledzą swoje ofiary przez wiele tygodni, a nawet miesięcy: monitorują codzienne działania użytkownika, planując jednocześnie strategię kradzieży finansowej. Po zidentyfikowaniu znaczącego celu, który wykorzystuje rozszerzenie popularnej przeglądarki w celu zarządzania kryptoportfelami (np. rozszerzenie Metamask), cyberprzestępcy zastępują komponent tego rozszerzenia fałszywą wersją.

Według badaczy przestępcy otrzymują powiadomienie w momencie wykrycia dużych przelewów. Kiedy użytkownik stanowiący cel ataków próbuje przelać środki na inne konto, atakujący przechwytują proces transakcji i wstrzykują własne mechanizmy. W celu zakończenia zainicjowanej płatności użytkownik klika przycisk „Potwierdź”. W tym momencie cyberprzestępcy zmieniają adres odbiorcy i maksymalnie zwiększają kwotę transakcji, a tym samym jednym ruchem opróżniają konto.

 

Ponieważ cyberprzestępcy nieustannie wymyślają nowe sposoby oszukiwania i okradania użytkowników, również małe firmy powinny zapoznać swoich pracowników z podstawowymi praktykami dotyczącymi cyberbezpieczeństwa. Jest to szczególnie istotne, gdy firma ma do czynienia z kryptoportfelami: nie ma nic złego w korzystaniu z usług i rozszerzeń kryptowaluty, trzeba mieć jednak świadomość, że jest to atrakcyjny cel zaawansowanych cybergangów – powiedział Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Hewlett Packard Enterprise podczas Kongresu Partnerów HPE 2022 pod hasłem “Przyszłość już tu jest” nagrodziło swoich najlepszych partnerów biznesowych.

ZOSTAW ODPOWIEDŹ

Please enter your comment!
Please enter your name here

Newsletter

Social media

Najpopularniejsze

Feardemic rozbudowuje portfolio gier, liczy na poszerzenie grona odbiorców.

Feardemic - spółka-córka Bloober Team i wydawca gier z gatunku horror - poszerza swoje portfolio wydawnicze, aby trafić do większej grupy odbiorców, poinformował CEO...

Warszawski Instytut Bankowości/Związek Banków Polskich: 86% Polaków czuje się bezpiecznie, korzystając...

Liderem w obszarze cyberbezpieczeństwa są banki (54%), wyprzedzając tym samym firmy technologiczne (31%) oraz wojsko i policję (30%), wynika z badania "Postawy Polaków wobec...

Rząd planuje powołanie Centralnego Biura Zwalczania Cyberprzestępczości.

Rząd planuje powołanie Centralnego Biura Zwalczania Cyberprzestępczości, które ma zajmować się wyłącznie problemami dotyczącymi cyberbezpieczeństwa, poinformował premier Mateusz Morawiecki. Planowane są zmiany ustawy o...

Biuro Informacji Kredytowej: Wartość pożyczek od firm pożyczkowych wzrosła o 119,9%...

Firmy pożyczkowe udzieliły w czerwcu finansowania na kwotę 661 mln zł (wzrost o 119,9% r/r), wynika z danych Biura Informacji Kredytowej (BIK). Średnia wartość...

Huawei podczas International Automobile Industry Exhibition w Szanghaju ogłosił rozpoczęcie sprzedaży...

Huawei rusza ze sprzedażą na chińskim rynku pierwszego samochodu z technologią Huawei na pokładzie. Od środy 21 kwietnia, elektryczny samochód SERES SF5 będzie dostępny...

Najnowsze

Apple naprawdę chce, abyś używał fizycznego klucza bezpieczeństwa dla Apple ID

Apple ogłosiło nowe funkcje mające na celu poprawę ochrony cyberbezpieczeństwa dla swoich klientów, zarówno konsumentów, jak i firm, w tym Security Keys, możliwość korzystania...

Wietnam: wielomiliardowe dodatkowe inwestycje planowane przez LG i Samsunga

Jak poinformował we wtorek wietnamski rząd, południowokoreańscy giganci branży elektronicznej, Samsung i LG, planują zainwestować miliardy dolarów w Wietnamie. Informacje te pojawiły się po...

Microsoft Teams w końcu będzie dużo łatwiejszy w użyciu na iPadzie...

Platforma wideokonferencyjna ujawniła, że pracuje nad wprowadzeniem trybu Picture in Picture dla użytkowników iPhone'a i iPada, umożliwiając im wyświetlanie wielu okien jednocześnie na ich...

Lenovo Polska podczas uroczystej gali Lenovo Top Partners Awards 2022, w...

7 grudnia, w eleganckich przestrzeniach warszawskiego Nobu Hotel, Lenovo, największy producent komputerów na świecie, nagrodził swoich czołowych partnerów w Polsce charakterystycznymi, czerwonymi „jedynkami”.  Szkolne skojarzenia...

SK hynix opracowuje najszybszą na świecie serwerową pamięć DRAM

Południowokoreański producent układów scalonych SK hynix ogłosił w czwartek, że opracował najszybszy na świecie moduł pamięci serwerowej. Nowy produkt, DDR5 Multiplexer Combined Ranks Dual In-line...