BlueNoroffs Suche nach Kryptowährung

Wir haben eine maliziöse Kampagne entdeckt, die auf Fintech-Unternehmen abzielt.

Unsere Experten haben eine maliziöse Kampagne aufgedeckt, die auf Unternehmen abzielt, die mit Kryptowährung, Smart Contracts, dezentralisierten Finanzmärkten (DeFi) und Blockchain arbeiten. Die Angreifer interessieren sich allgemein für Fintech-Unternehmen. Hinter der Kampagne mit dem Namen SnatchCrypto steckt der Advanced Persistent Threat (APT)-Akteur BlueNoroff, eine bekannte APT-Gruppe, die seit dem Angriff auf die Zentralbank von Bangladesch in 2016 bekannt ist.

Angriffsziele von SnatchCrypto

Die Internetverbrecher, die diese Kampagne betreiben, haben zwei Ziele: Informationen sammeln und Kryptowährung stehlen. Insbesondere sind sie an Benutzerkonten, IP-Adressen, Sitzungsinformationen usw. interessiert: Außerdem stehlen sie Konfigurationsdateien der Programme, die direkt mit der Kryptowährung arbeiten und möglicherweise Anmeldedaten und andere Informationen der Konten enthalten. Die potenziellen Opfer werden im Vorfeld sorgfältig ausgespäht – oft wird die Aktivität der betroffenen Unternehmen über Wochen und Monate überwacht.

Eine der Methoden umfasst die Manipulation von beliebten Browsererweiterungen, die zur Verwaltung von Krypto-Wallets verwendet werden. Beispielsweise ist es möglich, die Quelle der Erweiterung in den Browser-Einstellungen zu ändern, damit sie von einem lokalen Speicher installiert wird (d. h. eine modifizierte Version), anstatt vom offiziellen Web Store. Eine andere Methode besteht darin, die Transaktionslogik durch die modifizierte Metamask-Erweiterung für Chrome zu ersetzen. Das ermöglicht den Angreifern, sogar Kryptogelder von Unternehmen zu stehlen, die Hardwaregeräte für die digitale Signatur zur Überweisung von Kryptowährung verwenden.

Angriffsmethode von BlueNoroff

Die Angreifer informieren sich genauestens über ihre Opfer und nutzen diese Informationen daraufhin für ausgeklügelte Social-Engineering-Methoden aus. In den meisten Fällen senden die APT-Akteure eine E-Mail mit einem makroaktivierten Dokument im Anhang, die angeblich von einem Risikokapitalunternehmen stammt. Wird das Dokument auf einem Rechner mit Internetverbindung geöffnet, kann eine Backdoor heruntergeladen und installiert werden. Detaillierte technische Details über den Angriff und die Angriffsmethoden finden Sie in unserem Securelist-Bericht „The BlueNoroff cryptocurrency hunt is still on“ (BlueNoroff macht weiterhin Jagd auf Kryptowährung).

So schützen Sie Ihr Unternehmen vor SnatchCrypto-Angriffen

Ein klares Anzeichen von SnatchCrypto-Aktivität ist eine modifizierte Metamask-Erweiterung. Damit die Angreifer die Erweiterung verwenden können, ist es erforderlich den Browser auf Entwicklungsmodus zu stellen und eine Metamask-Erweiterung aus einem lokalen Verzeichnis hochzuladen. Das kann leicht überprüft werden: Wurde der Browser-Modus ohne Ihre Erlaubnis geändert und die Extension von einem lokalen Verzeichnis hochgeladen, ist Ihr Gerät möglicherweise kompromittiert.

Als zusätzliche Schutzmaßnahmen empfehlen wir:

  • Mitarbeitern Schulungen zur Cybersicherheit anzubieten, da viele gezielte Angriffe mit Social-Engineering-Techniken beginnen.
  • Führen Sie Updates von allen kritischen Anwendungen (einschließlich Betriebssysteme und Office-Pakete) immer so schnell wie möglich durch.
  • Installieren Sie auf allen Rechnern mit Internetzugang eine zuverlässige Sicherheitslösung.
  • Verwenden Sie eine EDR-Lösung (falls Endgeräteerkennung und Reaktion für Ihre Infrastruktur infrage kommt), die Ihnen hilft, komplexe Bedrohung schnell zu erkennen und rechtzeitig darauf zu reagieren.
Tipps