22.9 C
Tunisie

Snatch that crypto : le groupe de cybercriminels BlueNoroff vole les crypto-monnaies des startups

Published:

Les experts de Kaspersky ont découvert une série d’attaques menées par le groupe de menaces persistantes avancées (APT) BlueNoroff contre des petites et moyennes entreprises du monde entier, entraînant des pertes importantes de crypto-monnaies pour les victimes. La campagne, baptisée SnatchCrypto, vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la DeFi, la blockchain et l’industrie FinTech. 

Dans la campagne la plus récente de BlueNoroff, les attaquants ont subtilement abusé de la confiance des employés travaillant dans les entreprises ciblées en leur envoyant une backdoor Windows complète avec des fonctions de surveillance sous la forme d’un « contrat » ou d’un autre fichier commercial. Afin de vider les portefeuilles de crypto-monnaies de ses victimes, le groupe a développé des ressources étendues et dangereuses : infrastructures complexes, exploits, implants de logiciels malveillants.

BlueNoroff fait partie du groupe Lazarus et utilise sa structure diversifiée et ses technologies d’attaque sophistiquées. Le groupe APT Lazarus est connu pour ses attaques contre des banques et des serveurs connectés à SWIFT, et s’est même engagé dans la création de fausses sociétés pour le développement de logiciels de crypto-monnaie. Les clients escroqués installaient ensuite des applications d’apparence légitime et, après un certain temps, recevaient des mises à jour dissimulant des backdoors.

Cette « branche » de Lazarus est passée à l’attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d’ingénierie sociale élaborés.

Pour gagner la confiance de la victime, BlueNoroff se fait passer pour une société de capital-risque existante. Les chercheurs de Kaspersky ont découvert plus de 15 entreprises de capital-risque, dont la marque et les noms des employés ont été utilisés de manière abusive pendant la campagne SnatchCrypto. Les experts de Kaspersky pensent également que les entreprises réelles n’ont rien à voir avec cette attaque ou les e-mails. La sphère des start-ups crypto a été choisie par les cybercriminels pour une raison précise : les start-ups reçoivent souvent des lettres ou des fichiers provenant de sources inconnues. Par exemple, une société à capital-risque peut leur envoyer un contrat ou d’autres fichiers liés aux affaires. L’organisation APT s’en sert comme appât pour inciter les victimes à ouvrir la pièce jointe de l’e-mail – un document contenant des macros.

Actualités.

spot_img

Recent articles

spot_img