{"id":18452,"date":"2022-01-24T10:23:55","date_gmt":"2022-01-24T08:23:55","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=18452"},"modified":"2022-01-24T10:23:55","modified_gmt":"2022-01-24T08:23:55","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/snatchcrypto-bluenoroff\/18452\/","title":{"rendered":"La recherche de cryptodevises de BlueNoroff"},"content":{"rendered":"

Nos experts ont \u00e9tudi\u00e9 une campagne mal intentionn\u00e9e ciblant les entreprises qui travaillent avec les cryptodevises, les contrats intelligents, la finance d\u00e9centralis\u00e9e et la technologie blockchain. Les attaquants s\u2019int\u00e9ressent \u00e0 la fintech en g\u00e9n\u00e9ral, et la campagne, nomm\u00e9e SnatchCrypto, est li\u00e9e au groupe APT BlueNoroff, une entit\u00e9 connue d\u00e9j\u00e0 trac\u00e9e jusqu\u2019\u00e0 l\u2019attaque de 2016 contre la banque centrale du Bangladesh.<\/p>\n

Les objectifs de SnatchCrypto<\/h2>\n

Les cybercriminels \u00e0 l\u2019origine de cette campagne ont deux objectifs\u00a0: collecter des informations et voler des cryptodevises. Ils s\u2019int\u00e9ressent principalement \u00e0 la collecte de donn\u00e9es sur les comptes d\u2019utilisateurs, les adresses IP et les informations de session, et volent les fichiers de configuration des programmes qui travaillent directement avec les cryptodevises et peuvent contenir des informations d\u2019identification et d\u2019autres informations sur les comptes. Les attaquants \u00e9tudient attentivement les victimes potentielles, en surveillant parfois leur activit\u00e9 pendant des mois.<\/p>\n

L\u2019une de leurs m\u00e9thodes consiste \u00e0 manipuler les extensions de navigateur populaires pour la gestion des cryptomonnaies. Par exemple, ils peuvent modifier la source d\u2019une extension dans les param\u00e8tres du navigateur afin qu\u2019elle soit install\u00e9e \u00e0 partir d\u2019un stockage local (c\u2019est-\u00e0-dire qu\u2019il s\u2019agit d\u2019une version modifi\u00e9e) et non \u00e0 partir de la boutique en ligne officielle. Ils peuvent \u00e9galement utiliser l\u2019extension Metamask modifi\u00e9e pour Chrome pour remplacer la logique de transaction, ce qui leur permet de voler des fonds m\u00eame aupr\u00e8s de ceux qui utilisent des dispositifs mat\u00e9riels pour signer les transferts de cryptodevises.<\/p>\n

Les m\u00e9thodes de propagation de BlueNoroff<\/h2>\n

Les attaquants \u00e9tudient soigneusement leurs victimes et utilisent les informations qu\u2019ils obtiennent pour d\u00e9ployer des attaques d\u2019ing\u00e9nierie sociale. Ils r\u00e9digent g\u00e9n\u00e9ralement des courriels qui semblent provenir de soci\u00e9t\u00e9s de capital-risque existantes, mais qui contiennent en pi\u00e8ce jointe un document activ\u00e9 par macro. Une fois ouvert, ce document t\u00e9l\u00e9charge une porte d\u00e9rob\u00e9e. Pour des informations techniques d\u00e9taill\u00e9es au sujet de l\u2019attaque et des m\u00e9thodes des attaquants, voir le rapport de Securelist \u00a0\u00bb\u00a0La chasse aux cryptodevises de BlueNoroff continue\u00a0\u00ab\u00a0.<\/a><\/p>\n

Comment prot\u00e9ger votre entreprise des attaques de SnatchCrypto\u00a0?<\/h2>\n

L\u2019extension Metamask modifi\u00e9e est un signe \u00e9vident de l\u2019activit\u00e9 de SnatchCrypto. Pour l\u2019utiliser, les attaquants doivent mettre le navigateur en mode d\u00e9veloppeur et installer l\u2019extension Metamask depuis un r\u00e9pertoire local. Vous pouvez facilement v\u00e9rifier si cela a eu lieu\u00a0: si le mode du navigateur a \u00e9t\u00e9 bascul\u00e9 sans votre autorisation et que l\u2019extension est charg\u00e9e depuis un r\u00e9pertoire local, votre appareil est probablement compromis.<\/p>\n

En outre, nous vous recommandons d\u2019appliquer les mesures de protection standard suivantes :<\/p>\n