APT

La recherche de cryptodevises de BlueNoroff

Nos experts ont découvert une campagne malveillante visant les entreprises de fintech.

Hugh Aver
24 Jan 2022

Nos experts ont étudié une campagne mal intentionnée ciblant les entreprises qui travaillent avec les cryptodevises, les contrats intelligents, la finance décentralisée et la technologie blockchain. Les attaquants s’intéressent à la fintech en général, et la campagne, nommée SnatchCrypto, est liée au groupe APT BlueNoroff, une entité connue déjà tracée jusqu’à l’attaque de 2016 contre la banque centrale du Bangladesh.

Les objectifs de SnatchCrypto

Les cybercriminels à l’origine de cette campagne ont deux objectifs : collecter des informations et voler des cryptodevises. Ils s’intéressent principalement à la collecte de données sur les comptes d’utilisateurs, les adresses IP et les informations de session, et volent les fichiers de configuration des programmes qui travaillent directement avec les cryptodevises et peuvent contenir des informations d’identification et d’autres informations sur les comptes. Les attaquants étudient attentivement les victimes potentielles, en surveillant parfois leur activité pendant des mois.

L’une de leurs méthodes consiste à manipuler les extensions de navigateur populaires pour la gestion des cryptomonnaies. Par exemple, ils peuvent modifier la source d’une extension dans les paramètres du navigateur afin qu’elle soit installée à partir d’un stockage local (c’est-à-dire qu’il s’agit d’une version modifiée) et non à partir de la boutique en ligne officielle. Ils peuvent également utiliser l’extension Metamask modifiée pour Chrome pour remplacer la logique de transaction, ce qui leur permet de voler des fonds même auprès de ceux qui utilisent des dispositifs matériels pour signer les transferts de cryptodevises.

Les méthodes de propagation de BlueNoroff

Les attaquants étudient soigneusement leurs victimes et utilisent les informations qu’ils obtiennent pour déployer des attaques d’ingénierie sociale. Ils rédigent généralement des courriels qui semblent provenir de sociétés de capital-risque existantes, mais qui contiennent en pièce jointe un document activé par macro. Une fois ouvert, ce document télécharge une porte dérobée. Pour des informations techniques détaillées au sujet de l’attaque et des méthodes des attaquants, voir le rapport de Securelist » La chasse aux cryptodevises de BlueNoroff continue « .

Comment protéger votre entreprise des attaques de SnatchCrypto ?

L’extension Metamask modifiée est un signe évident de l’activité de SnatchCrypto. Pour l’utiliser, les attaquants doivent mettre le navigateur en mode développeur et installer l’extension Metamask depuis un répertoire local. Vous pouvez facilement vérifier si cela a eu lieu : si le mode du navigateur a été basculé sans votre autorisation et que l’extension est chargée depuis un répertoire local, votre appareil est probablement compromis.

En outre, nous vous recommandons d’appliquer les mesures de protection standard suivantes :

Sensibilisez régulièrement vos employés à la cybersécurité;
Mettez rapidement à jour les applications critiques (y compris le système d’exploitation et les suites bureautiques);
Équipez chaque ordinateur qui a accès à Internet d’une solution de sécurité fiable;
Utilisez une solution EDR (si cela est approprié pour votre infrastructure) qui vous permette de détecter des menaces complexes et assurer des réponses rapides.

Trouver des caméras cachées avec le capteur TOF de votre smartphone

Nous vous expliquons ce qu’est le capteur TOF d’un smartphone et comment des chercheurs de Singapour proposent de l’utiliser pour trouver des caméras cachées.

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Comment distinguer une photo ou vidéo réelle d’un trucage et retracer sa provenance.

Passer à Kaspersky : guide de migration pas à pas

Comment faire passer la cyberprotection de votre ordinateur ou de votre smartphone à la solution de sécurité la plus primée de Kaspersky ?

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Vous avez reçu un message inattendu de la part de votre patron ou d’un collègue qui vous demande de « régler un problème » ? Attention aux escrocs ! Comment pouvez-vous vous protéger, vous et votre entreprise, contre une attaque potentielle ?

Assurer la sécurité du domicile

Les entreprises de sécurité proposent des technologies intelligentes, principalement des caméras, pour protéger votre maison contre les vols, les incendies et les autres incidents. Mais qu’en est-il de la protection des systèmes de sécurité eux-mêmes contre les intrus ? Nous comblons cette lacune.

Protection des enfants

La recherche de cryptodevises de BlueNoroff

Les objectifs de SnatchCrypto

Les méthodes de propagation de BlueNoroff

Comment protéger votre entreprise des attaques de SnatchCrypto ?

Security Analyst Summit 2023 : les recherches clés

TriangleDB : l’implant du logiciel espion de l’opération Triangulation

Trouver des caméras cachées avec le capteur TOF de votre smartphone

Conseils

Souris, le petit oiseau (le vrai) va sortir, ou de nouvelles façons de reconnaître les deepfake

Passer à Kaspersky : guide de migration pas à pas

Patron ou escroc ? Escroquerie sous couvert de demandes de votre patron

Assurer la sécurité du domicile

Abonnez-vous et recevez tous nos titres à la une par e-mail

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky