Amenaza persistente avanzada que roba criptomonedas
El actor de amenazas BlueNoroff vacía las cuentas de las empresas de criptomonedas.
Los expertos de Kaspersky han descubierto una serie de ataques del actor de amenazas persistentes avanzadas (APT) BlueNoroff contra pequeñas y medianas empresas de todo el mundo, que ha ocasionado importantes pérdidas de criptodivisas.
La campaña, bautizada como SnatchCrypto, está dirigida a varias empresas que, por la naturaleza de su trabajo, trabajan con criptomonedas, contratos inteligentes, DeFi, Blockchain y la industria FinTech.
En la campaña más reciente de BlueNoroff, los atacantes engañan sutilmente a los empleados de las empresas objetivo enviándoles un backdoor o puerta trasera de Windows con todas las funciones de vigilancia, bajo la apariencia de un contrato u otro archivo de negocio. Para lograr vaciar la criptocartera de las víctimas, los ciberdelincuentes han desarrollado un abanico de peligrosos recursos que incluyen complejas infraestructuras, exploits e implantes de malware.
BlueNoroff forma parte del grupo más amplio Lazarus y utiliza su estructura diversificada y sus sofisticadas tecnologías de ataque. El grupo APT Lazarus es conocido por sus ataques a bancos y servidores conectados a SWIFT e, incluso, ha participado en la creación de empresas falsas para el desarrollo de software de criptomonedas. Los clientes estafados instalaban aplicaciones que parecían legítimas y, al cabo de un tiempo, recibían actualizaciones con efecto retardado. Ahora, esta "rama" de Lazarus ha pasado a atacar a las empresas de criptomonedas. Como la mayoría de estas son de tamaño pequeño o mediano, no tienen capacidad para invertir mucho dinero en sus sistemas de seguridad internos. BlueNoroff se aprovecha de este punto débil utilizando esquemas de ingeniería social muy elaborados.
Para ganarse la confianza de la víctima, BlueNoroff se hace pasar por una entidad de capital riesgo existente. Los investigadores de Kaspersky han descubierto más de 15 empresas de este tipo cuya marca y nombres de empleados se han utilizado durante la campaña SnatchCrypto. Los expertos de Kaspersky creen que las empresas reales no han tenido nada que ver con estos ataques ni con los correos electrónicos utilizados para llevarlos a cabo. Los ciberdelincuentes eligieron el ámbito de las start-up de criptomonedas por una razón: las empresas de nueva creación suelen recibir cartas o archivos de fuentes desconocidas. Por ejemplo, no es extraño que una compañía de capital riesgo pueda enviarles un contrato u otros archivos relacionados con el negocio. El actor de APT lo utiliza como cebo con el fin de que las víctimas abran el archivo adjunto al correo electrónico, un documento habilitado para macros.
Si el documento se abriera offline, el archivo no representaría nada peligroso, lo más probable es que pareciera una copia de algún contrato u otro tipo de documento inofensivo. Pero si el ordenador está conectado a Internet en el momento de abrir el archivo, otro documento habilitado para macros se descarga en el dispositivo de la víctima, desplegando el malware.
Este grupo APT tiene distintos métodos de infección dentro de su arsenal, que utiliza en función de la situación. Además de los documentos Word, también propaga malware disfrazado de archivos de acceso directo comprimidos de Windows. Este envía la información de la víctima y el agente Powershell, que crea una puerta trasera con todas las funciones. A partir de ahí, BlueNoroff despliega otras herramientas maliciosas para vigilar a la víctima: un keylogger y un capturador de pantalla.
El siguiente paso de los atacantes es rastrear a las víctimas durante semanas y meses: recopilan sus pulsaciones en el teclado y vigilan sus operaciones diarias mientras planifican una estrategia de robo financiero. Tras encontrar un objetivo importante que utilice una extensión popular del navegador para gestionar las criptocarteras (por ejemplo, la extensión Metamask), sustituyen el componente principal de la extensión por una versión falsa.
Según los investigadores, los atacantes reciben una notificación al detectar grandes transferencias. Cuando el usuario comprometido intenta transferir fondos a otra cuenta, ellos interceptan la transacción e inyectan su propia lógica. Para completar el pago iniciado, el usuario hace clic en el botón "aceptar" y es en este momento cuando los cibercriminales cambian la dirección del destinatario y maximizan el importe de la transacción, vaciando la cuenta en un solo movimiento.
"Los ciberdelincuentes están continuamente inventando nuevas formas de engaño, por lo que incluso las pequeñas empresas deberían formar a sus empleados en las prácticas básicas de ciberseguridad. Es fundamental sobre todo si la compañía trabaja con monederos de criptomonedas. No hay nada de malo en utilizar servicios y extensiones de criptomonedas, pero hay que tener en cuenta que son un objetivo atractivo para los grupos APT y ciberdelincuentes. Por lo tanto, este sector debería estar bien protegido", comenta Seongsu Park, investigador principal de seguridad del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky.