{"id":28006,"date":"2022-01-21T14:15:49","date_gmt":"2022-01-21T12:15:49","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28006"},"modified":"2022-01-21T14:15:49","modified_gmt":"2022-01-21T12:15:49","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/snatchcrypto-bluenoroff\/28006\/","title":{"rendered":"BlueNoroffs Suche nach Kryptow\u00e4hrung"},"content":{"rendered":"

Unsere Experten haben eine malizi\u00f6se Kampagne aufgedeckt, die auf Unternehmen abzielt, die mit Kryptow\u00e4hrung, Smart Contracts, dezentralisierten Finanzm\u00e4rkten (DeFi) und Blockchain arbeiten. Die Angreifer interessieren sich allgemein f\u00fcr Fintech-Unternehmen. Hinter der Kampagne mit dem Namen SnatchCrypto steckt der Advanced Persistent Threat (APT)-Akteur BlueNoroff, eine bekannte APT-Gruppe, die seit dem Angriff auf die Zentralbank von Bangladesch in 2016 bekannt ist.<\/p>\n

Angriffsziele von SnatchCrypto<\/h2>\n

Die Internetverbrecher, die diese Kampagne betreiben, haben zwei Ziele: Informationen sammeln und Kryptow\u00e4hrung stehlen. Insbesondere sind sie an Benutzerkonten, IP-Adressen, Sitzungsinformationen usw. interessiert: Au\u00dferdem stehlen sie Konfigurationsdateien der Programme, die direkt mit der Kryptow\u00e4hrung arbeiten und m\u00f6glicherweise Anmeldedaten und andere Informationen der Konten enthalten. Die potenziellen Opfer werden im Vorfeld sorgf\u00e4ltig ausgesp\u00e4ht \u2013 oft wird die Aktivit\u00e4t der betroffenen Unternehmen \u00fcber Wochen und Monate \u00fcberwacht.<\/p>\n

Eine der Methoden umfasst die Manipulation von beliebten Browsererweiterungen, die zur Verwaltung von Krypto-Wallets verwendet werden. Beispielsweise ist es m\u00f6glich, die Quelle der Erweiterung in den Browser-Einstellungen zu \u00e4ndern, damit sie von einem lokalen Speicher installiert wird (d. h. eine modifizierte Version), anstatt vom offiziellen Web Store. Eine andere Methode besteht darin, die Transaktionslogik durch die modifizierte Metamask-Erweiterung f\u00fcr Chrome zu ersetzen. Das erm\u00f6glicht den Angreifern, sogar Kryptogelder von Unternehmen zu stehlen, die Hardwareger\u00e4te f\u00fcr die digitale Signatur zur \u00dcberweisung von Kryptow\u00e4hrung verwenden.<\/p>\n

Angriffsmethode von BlueNoroff<\/h2>\n

Die Angreifer informieren sich genauestens \u00fcber ihre Opfer und nutzen diese Informationen daraufhin f\u00fcr ausgekl\u00fcgelte Social-Engineering-Methoden aus. In den meisten F\u00e4llen senden die APT-Akteure eine E-Mail mit einem makroaktivierten Dokument im Anhang, die angeblich von einem Risikokapitalunternehmen stammt. Wird das Dokument auf einem Rechner mit Internetverbindung ge\u00f6ffnet, kann eine Backdoor heruntergeladen und installiert werden. Detaillierte technische Details \u00fcber den Angriff und die Angriffsmethoden finden Sie in unserem Securelist-Bericht \u201eThe BlueNoroff cryptocurrency hunt is still on\u201c<\/a> (BlueNoroff macht weiterhin Jagd auf Kryptow\u00e4hrung).<\/p>\n

So sch\u00fctzen Sie Ihr Unternehmen vor SnatchCrypto-Angriffen<\/h2>\n

Ein klares Anzeichen von SnatchCrypto-Aktivit\u00e4t ist eine modifizierte Metamask-Erweiterung. Damit die Angreifer die Erweiterung verwenden k\u00f6nnen, ist es erforderlich den Browser auf Entwicklungsmodus zu stellen und eine Metamask-Erweiterung aus einem lokalen Verzeichnis hochzuladen. Das kann leicht \u00fcberpr\u00fcft werden: Wurde der Browser-Modus ohne Ihre Erlaubnis ge\u00e4ndert und die Extension von einem lokalen Verzeichnis hochgeladen, ist Ihr Ger\u00e4t m\u00f6glicherweise kompromittiert.<\/p>\n

Als zus\u00e4tzliche Schutzma\u00dfnahmen empfehlen wir:<\/p>\n