SnatchCrypto, nueva campaña de BlueNoroff dirigida a robar criptodivisas

Recomendados:  Demostración de un ataque dirigido a entornos OT Webinar Ciberseguridad industrial, protegiendo las redes IT y OT Leer  Ciberseguridad orientada al futuro Leer

Los expertos de Kaspersky han descubierto una serie de ataques del actor de amenazas persistentes avanzadas (APT) BlueNoroff que ha ocasionado importantes pérdidas de criptodivisas. BlueNoroff forma parte del grupo más amplio Lazarus y utiliza su estructura diversificada y sus sofisticadas tecnologías de ataque. El grupo está actualmente activo y ataca a los usuarios sin importar de qué país sean.

La campaña, bautizada como SnatchCrypto, está dirigida a varias empresas de criptomonedas, la mayoría de las cuales son de tamaño pequeño o mediano, por lo que no tienen capacidad para invertir mucho dinero en sus sistemas de seguridad internos. BlueNoroff se aprovecha de este punto débil utilizando esquemas de ingeniería social muy elaborados. Para lograr vaciar la criptocartera de las víctimas, los ciberdelincuentes han desarrollado un abanico de peligrosos recursos que incluyen complejas infraestructuras, exploits e implantes de malware.

Para ganarse la confianza de la víctima, BlueNoroff se hace pasar por una entidad de capital riesgo existente. Los investigadores han descubierto más de 15 empresas de este tipo cuya marca y nombres de empleados se han utilizado durante la campaña. En la campaña SnatchCrypto, los atacantes engañan a los empleados de las empresas objetivo enviándoles un backdoor o puerta trasera de Windows con todas las funciones de vigilancia, bajo la apariencia de un contrato u otro archivo de negocio. En este sentido, no es extraño que una compañía de capital riesgo pueda enviarles un contrato u otros archivos relacionados con el negocio, y el actor de APT lo utiliza como cebo con el fin de que las víctimas abran el archivo adjunto al correo electrónico, un documento habilitado para macros que se descarga en el dispositivo de la víctima, desplegando el malware.

Este grupo APT tiene distintos métodos de infección dentro de su arsenal, que utiliza en función de la situación. Además de los documentos Word, también propaga malware disfrazado de archivos de acceso directo comprimidos de Windows. Este envía la información de la víctima y el agente Powershell, que crea una puerta trasera con todas las funciones. A partir de ahí, BlueNoroff despliega un keylogger y un capturador de pantalla.

El siguiente paso de los atacantes es rastrear a las víctimas durante semanas y meses, recopilando sus pulsaciones en el teclado y vigilando sus operaciones diarias mientras planifican una estrategia de robo financiero. Tras encontrar un objetivo importante que utilice una extensión popular del navegador para gestionar las criptocarteras (por ejemplo, la extensión Metamask), sustituyen el componente principal de la extensión por una versión falsa.

Según los investigadores, los atacantes reciben una notificación al detectar grandes transferencias. Cuando el usuario comprometido intenta transferir fondos a otra cuenta, ellos interceptan la transacción e inyectan su propia lógica. Para completar el pago iniciado, el usuario hace clic en el botón "aceptar" y es en este momento cuando los cibercriminales cambian la dirección del destinatario y vacían la cuenta en un solo movimiento.

"Los ciberdelincuentes están continuamente inventando nuevas formas de engaño, por lo que incluso las pequeñas empresas deberían formar a sus empleados en las prácticas básicas de ciberseguridad. Es fundamental sobre todo si la compañía trabaja con monederos de criptomonedas. No hay nada de malo en utilizar servicios y extensiones de criptomonedas, pero hay que tener en cuenta que son un objetivo atractivo para los grupos APT y ciberdelincuentes. Por lo tanto, este sector debería estar bien protegido", afirma Seongsu Park, investigador principal de seguridad del Equipo de Investigación y Análisis Global de Kaspersky.