{"id":26339,"date":"2022-01-20T16:24:38","date_gmt":"2022-01-20T14:24:38","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=26339"},"modified":"2022-01-20T16:24:38","modified_gmt":"2022-01-20T14:24:38","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/snatchcrypto-bluenoroff\/26339\/","title":{"rendered":"La ricerca di BlueNoroff per le criptovalute"},"content":{"rendered":"

I nostri esperti hanno studiato una campagna dannosa che prende di mira le aziende che lavorano con criptovalute, contratti intelligenti, finanza decentralizzata e tecnologia blockchain. I criminali informatici sono interessati al fintech in generale, e la campagna, chiamata SnatchCrypto, \u00e8 legata al gruppo APT BlueNoroff, un\u2019entit\u00e0 nota gi\u00e0 rintracciata nell\u2019attacco del 2016 alla banca centrale del Bangladesh.<\/p>\n

Gli obiettivi di SnatchCrypto<\/h2>\n

I cybercriminali dietro questa campagna hanno due obiettivi: raccogliere informazioni e rubare criptovalute. Sono interessati principalmente a raccogliere dati sugli account degli utenti, indirizzi IP e informazioni di sessione, e rubano i file di configurazione dei programmi che lavorano direttamente con le criptovalute e possono contenere credenziali e altre informazioni sugli account. I criminali informatici studiano attentamente le potenziali vittime, a volte monitorando la loro attivit\u00e0 per mesi.<\/p>\n

Uno dei loro metodi coinvolge manipolazioni con le estensioni del browser popolari per la gestione dei wallet di criptovalute. Per esempio, possono cambiare la fonte di un\u2019estensione nelle impostazioni del browser in modo che venga installata dalla memoria locale (cio\u00e8, una versione modificata) invece che dal negozio web ufficiale. Possono anche utilizzare l\u2019estensione Metamask modificata per Chrome per sostituire la logica delle transazioni, consentendo loro di rubare fondi anche da coloro che utilizzano dispositivi hardware per firmare i trasferimenti di criptovaluta.<\/p>\n

I metodi di invasione di BlueNoroff<\/h2>\n

Gli hacker studiano attentamente le loro vittime e applicano le informazioni che ottengono per implementare attacchi di social-engineering. Di solito, creano delle e-mail che sembrano provenire da aziende esistenti, ma con un documento allegato, abilitato alle macro. Quando viene aperto, questo documento alla fine scarica una backdoor. Per informazioni tecniche dettagliate sull\u2019attacco e sui metodi degli hacker, leggete il report su Securelist, \u201cLa caccia alla criptovaluta BlueNoroff \u00e8 ancora in corso<\/a>\u201c.<\/p>\n

Come proteggere la vostra azienda dagli attacchi SnatchCrypto<\/h2>\n

Un chiaro segno dell\u2019attivit\u00e0 di SnatchCrypto \u00e8 un\u2019estensione Metamask modificata. Per usarla, i criminali informatici devono mettere il browser in modalit\u00e0 sviluppatore e installare l\u2019estensione Metamask da una directory locale. Si pu\u00f2 facilmente controllare: se la modalit\u00e0 del browser \u00e8 stata cambiata senza il vostro permesso, e l\u2019estensione \u00e8 caricata da una directory locale, allora il vostro dispositivo \u00e8 probabilmente compromesso.<\/p>\n

Inoltre, raccomandiamo di impiegare le seguenti misure di protezione standard:<\/p>\n