La ricerca di BlueNoroff per le criptovalute

I nostri esperti hanno studiato una campagna dannosa che prende di mira le aziende che lavorano con criptovalute, contratti intelligenti, finanza decentralizzata e tecnologia blockchain. I criminali informatici sono interessati al fintech in generale, e la campagna, chiamata SnatchCrypto, è legata al gruppo APT BlueNoroff, un’entità nota già rintracciata nell’attacco del 2016 alla banca centrale del Bangladesh.

Gli obiettivi di SnatchCrypto

I cybercriminali dietro questa campagna hanno due obiettivi: raccogliere informazioni e rubare criptovalute. Sono interessati principalmente a raccogliere dati sugli account degli utenti, indirizzi IP e informazioni di sessione, e rubano i file di configurazione dei programmi che lavorano direttamente con le criptovalute e possono contenere credenziali e altre informazioni sugli account. I criminali informatici studiano attentamente le potenziali vittime, a volte monitorando la loro attività per mesi.

Uno dei loro metodi coinvolge manipolazioni con le estensioni del browser popolari per la gestione dei wallet di criptovalute. Per esempio, possono cambiare la fonte di un’estensione nelle impostazioni del browser in modo che venga installata dalla memoria locale (cioè, una versione modificata) invece che dal negozio web ufficiale. Possono anche utilizzare l’estensione Metamask modificata per Chrome per sostituire la logica delle transazioni, consentendo loro di rubare fondi anche da coloro che utilizzano dispositivi hardware per firmare i trasferimenti di criptovaluta.

I metodi di invasione di BlueNoroff

Gli hacker studiano attentamente le loro vittime e applicano le informazioni che ottengono per implementare attacchi di social-engineering. Di solito, creano delle e-mail che sembrano provenire da aziende esistenti, ma con un documento allegato, abilitato alle macro. Quando viene aperto, questo documento alla fine scarica una backdoor. Per informazioni tecniche dettagliate sull’attacco e sui metodi degli hacker, leggete il report su Securelist, “La caccia alla criptovaluta BlueNoroff è ancora in corso“.

Come proteggere la vostra azienda dagli attacchi SnatchCrypto

Un chiaro segno dell’attività di SnatchCrypto è un’estensione Metamask modificata. Per usarla, i criminali informatici devono mettere il browser in modalità sviluppatore e installare l’estensione Metamask da una directory locale. Si può facilmente controllare: se la modalità del browser è stata cambiata senza il vostro permesso, e l’estensione è caricata da una directory locale, allora il vostro dispositivo è probabilmente compromesso.

Inoltre, raccomandiamo di impiegare le seguenti misure di protezione standard:

• Aumentate periodicamente la consapevolezza della sicurezza informatica dei dipendenti;
• Aggiornate tempestivamente le applicazioni critiche (compresi i sistemi operativi e le office suite);
• Equipaggiate ogni computer che ha accesso a Internet con una soluzione di sicurezza affidabile;
• Usate una soluzione EDR (se appropriata alla vostra infrastruttura) che vi permetta di rilevare minacce complesse e aiutate con risposte tempestive.