APT

La recherche de cryptodevises de BlueNoroff

Nos experts ont découvert une campagne malveillante visant les entreprises de fintech.

Hugh Aver
24 Jan 2022

Nos experts ont étudié une campagne mal intentionnée ciblant les entreprises qui travaillent avec les cryptodevises, les contrats intelligents, la finance décentralisée et la technologie blockchain. Les attaquants s’intéressent à la fintech en général, et la campagne, nommée SnatchCrypto, est liée au groupe APT BlueNoroff, une entité connue déjà tracée jusqu’à l’attaque de 2016 contre la banque centrale du Bangladesh.

Les objectifs de SnatchCrypto

Les cybercriminels à l’origine de cette campagne ont deux objectifs : collecter des informations et voler des cryptodevises. Ils s’intéressent principalement à la collecte de données sur les comptes d’utilisateurs, les adresses IP et les informations de session, et volent les fichiers de configuration des programmes qui travaillent directement avec les cryptodevises et peuvent contenir des informations d’identification et d’autres informations sur les comptes. Les attaquants étudient attentivement les victimes potentielles, en surveillant parfois leur activité pendant des mois.

L’une de leurs méthodes consiste à manipuler les extensions de navigateur populaires pour la gestion des cryptomonnaies. Par exemple, ils peuvent modifier la source d’une extension dans les paramètres du navigateur afin qu’elle soit installée à partir d’un stockage local (c’est-à-dire qu’il s’agit d’une version modifiée) et non à partir de la boutique en ligne officielle. Ils peuvent également utiliser l’extension Metamask modifiée pour Chrome pour remplacer la logique de transaction, ce qui leur permet de voler des fonds même auprès de ceux qui utilisent des dispositifs matériels pour signer les transferts de cryptodevises.

Les méthodes de propagation de BlueNoroff

Les attaquants étudient soigneusement leurs victimes et utilisent les informations qu’ils obtiennent pour déployer des attaques d’ingénierie sociale. Ils rédigent généralement des courriels qui semblent provenir de sociétés de capital-risque existantes, mais qui contiennent en pièce jointe un document activé par macro. Une fois ouvert, ce document télécharge une porte dérobée. Pour des informations techniques détaillées au sujet de l’attaque et des méthodes des attaquants, voir le rapport de Securelist » La chasse aux cryptodevises de BlueNoroff continue « .

Comment protéger votre entreprise des attaques de SnatchCrypto ?

L’extension Metamask modifiée est un signe évident de l’activité de SnatchCrypto. Pour l’utiliser, les attaquants doivent mettre le navigateur en mode développeur et installer l’extension Metamask depuis un répertoire local. Vous pouvez facilement vérifier si cela a eu lieu : si le mode du navigateur a été basculé sans votre autorisation et que l’extension est chargée depuis un répertoire local, votre appareil est probablement compromis.

En outre, nous vous recommandons d’appliquer les mesures de protection standard suivantes :

Sensibilisez régulièrement vos employés à la cybersécurité;
Mettez rapidement à jour les applications critiques (y compris le système d’exploitation et les suites bureautiques);
Équipez chaque ordinateur qui a accès à Internet d’une solution de sécurité fiable;
Utilisez une solution EDR (si cela est approprié pour votre infrastructure) qui vous permette de détecter des menaces complexes et assurer des réponses rapides.

Trouver des caméras cachées avec le capteur TOF de votre smartphone

Nous vous expliquons ce qu’est le capteur TOF d’un smartphone et comment des chercheurs de Singapour proposent de l’utiliser pour trouver des caméras cachées.

Conseils

Le voleur d’informations a rejoint la partie

Une nouvelle vague d’attaques ClickFix propageant un voleur d’informations sur macOS publie des guides d’utilisation malveillants sur le site officiel de ChatGPT en utilisant la fonction de partage de conversation du chatbot.

Comment espionner un réseau neuronal

L’attaque Whisper Leak permet à son auteur de découvrir le sujet de votre conversation avec un assistant IA, sans pour autant déchiffrer le trafic. Nous analysons les mécanismes en jeu et les mesures que vous pouvez prendre pour sécuriser vos chats avec l’IA.

Renforcement des serveurs Exchange

Voici comment atténuer les risques d’attaques ciblées sur les serveurs de messagerie de votre organisation.

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Pixnapping est une vulnérabilité Android découverte par des chercheurs. Elle permet à des applications de voler des mots de passe, des codes à usage unique et d’autres informations confidentielles à partir de l’écran sans aucune autorisation spéciale du système d’exploitation. En quoi consiste cette vulnérabilité et que pouvez-vous faire pour vous en protéger ?

Protection des enfants

La recherche de cryptodevises de BlueNoroff

Les objectifs de SnatchCrypto

Les méthodes de propagation de BlueNoroff

Comment protéger votre entreprise des attaques de SnatchCrypto ?

GhostCall et GhostHire : la chasse aux actifs en cryptomonnaies

Le groupe ForumTroll et ses homologues italiens

Trouver des caméras cachées avec le capteur TOF de votre smartphone

Conseils

Le voleur d’informations a rejoint la partie

Comment espionner un réseau neuronal

Renforcement des serveurs Exchange

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky