Gli esperti di Kaspersky hanno scoperto una serie di attacchi del gruppo APT (Advanced Persistent Threat) BlueNoroff, rivolti ad aziende di piccole e medie dimensioni in tutto il mondo, che avevano lo scopo di rubare criptovaluta.
La campagna, soprannominata SnatchCrypto, è rivolta a varie aziende che si occupano di criptovalute e contratti smart, DeFi, Blockchain e industria FinTech.
Nell’ultima campagna di BlueNoroff, gli attaccanti hanno sfruttato la fiducia dei dipendenti delle aziende prese di mira, inviando loro una backdoor Windows completa di funzioni di sorveglianza sotto le spoglie di un finto “contratto” o di un documento aziendale simile. Per riuscire a svuotare il wallet di criptovalute della vittima, l’attaccante ha sviluppato risorse molto articolate e pericolose come infrastrutture complesse, exploit e impianti malware.
BlueNoroff fa parte del più noto gruppo Lazarus e ne utilizza la struttura diversificata e le sofisticate tecnologie di attacco. Il gruppo APT Lazarus è noto per attacchi a banche e server collegati a SWIFT, e per la creazione di finte società che avevano lo scopo di sviluppare software di criptovaluta. In questo modo, gli utenti ingannati installavano app dall’aspetto legittimo, ma in realtà ricevevano backdoor camuffare da aggiornamenti.
Ora questo “ramo” di Lazarus è passato ad attaccare le startup di criptovaluta, la maggior parte delle quali è composta da piccole o medie imprese che non hanno la possibilità di investire molto nel loro sistema di sicurezza interno. Situazione, questa, sfruttata dai threat actor APT che cercano, infatti, di trarne vantaggio utilizzando elaborati schemi di ingegneria sociale.
Per guadagnare la fiducia della vittima, BlueNoroff finge di essere una società di venture capital realmente esistente. I ricercatori di Kaspersky hanno scoperto oltre 15 venture il cui marchio e i nomi dei dipendenti sono stati sfruttati per la campagna SnatchCrypto. Gli esperti di Kaspersky ritengono, inoltre, che le aziende legittime non abbiano nulla a che fare con questo attacco o con le email inviate. Il settore delle startup di criptovaluta è stato scelto dai criminali informatici per un motivo ben preciso: queste aziende ricevono spesso mail o file da fonti sconosciute. Ad esempio, una società di venture capital è solita inviare contratti o altri file relativi al business e i gruppi APT sfruttano queste attività come esca per convincere le vittime ad aprire i file allegati, ovvero, documenti in grado di caricare da siti esterni, “template” dannosi.