APT et Cyberattaques : BlueNoroff vise les cryptomonnaies
La société Kaspersky a détecté une compagne de cybercriminalité à grande échelle.
Si elle a été baptisée par cette dernière SnatchCrypto, il se cache derrière cette menace informatique un groupe de pirate informatique classé dans la catégorie des menaces persistantes avancées. Il s’agit notamment du groupe de cybercriminels connu sous l’appellation de BlueNoroff. Selon les observations des Kaspersky, la menace informatique dont il est question ici consiste pour ces Cybercriminels, à cibler les petites et moyennes entreprises notamment dans le secteur des TIC et les cryptomonnaies pour leur voler leurs actifs en monnaie cryptographique.
Cet article va aussi vous intéresser : La lutte contre les rançongiciels et les cryptomonnaies
« La campagne, baptisée SnatchCrypto, vise diverses entreprises qui, étant donné la nature de leur travail, gèrent des crypto-monnaies et des contrats intelligents et évoluent dans la DeFi, la blockchain et l’industrie FinTech. », explique les spécialistes de Kaspersky.
Les pirates informatiques de BlueNoroff procèdent à part plusieurs moyens dont notamment l’ingénierie sociale et le phishing. Par exemple, il arrive à créer des portes dérobées dans le système d’exploitation Windows en envoyant des fonctions de surveillance qui prend la forme de contrat. Cela en trompant les employés après avoir obtenu leur confiance. Ce groupe de cybercriminels possède énormément de ressources qui leur permet de pouvoir vider les portefeuilles électroniques. Ces ressources comprennent ont des logiciels malveillants, des exploits de vulnérabilités et bien évidemment des infrastructures très complexes.
Les analyses de leurs méthodes un permis de démontrer que c’est un groupe de cybercriminels qui est en partie issu d’un autre groupe : Lazarus. En effet, les moyens utilisés ainsi que les ressources déployées sont fortement les mêmes en qu’utiliser ce dernier. La seule différence est que le groupe Lazarus à pour cible privilégiée les serveurs connectés à Swift et les banques. Il n’empêche que les ressources sont similaires ainsi que les moyens utilisés. « Cette « branche » de Lazarus est passée à l’attaque et vise des startups de crypto-monnaies. Comme la plupart des organisations de crypto-monnaies sont des petites ou moyennes entreprises, elles ne peuvent pas investir beaucoup d’argent dans leur système de sécurité interne. Le groupe l’a compris et en tire parti en utilisant des schémas d’ingénierie sociale élaborés. », souligne les chercheurs de la société de cybersécurité.
Comment procèdent les cybercriminels pour tromper la vigilance des victimes ?
Ces derniers usurpent simplement l’identité d’une société de capital-risque qui existe véritablement. À ce jour, ce n’est pas de 15 entreprises de capital-risque qui auraient été déjà usurpées par les cybercriminels dans leur campagne de vols les cryptomonnaies. Selon les chercheurs de la société de cybersécurité, les entreprises dans l’identité auraient été usurpée ne sont nullement lié à cette campagne. Pour ce qu’il en est du choix des start-up en particulier pour leur action, cela se justifie par le fait que ce sont généralement des entreprises qui reçoivent énormément des fichiers électroniques dans le cadre de leurs affaires. Et souvent provenant même des sources inconnues. C’est d’ailleurs ce qui permet aux pirates de tromper la vigilance des employés en leur envoyant ce genre de courriers corrompus par pièce jointe.
Bien évidemment si l’utilisateur ciblés est attentif, il y a des chances qu’il puisse se rendre compte des subterfuges. Car les courriers comportent beaucoup d’éléments qui permettent de déterminer le caractère non licite. De plus, c’est un document qui est relativement n’est pas dangereux lorsqu’il est ouvert pendant que le terminal n’est pas connecté à Internet. Dans le cas inverse, le code malveillant contenu dans le pseudo contrat ou fichier s’active automatiquement et déploie un programme malveillant.
« Ce groupe APT dispose de plusieurs méthodes dans son arsenal d’infection et assemble la chaîne d’infection en fonction de la situation. Outre les documents Word piégés, l’acteur diffuse également des logiciels malveillants déguisés en raccourcis Windows zippés. Il envoie les informations générales de la victime et l’agent PowerShell, qui crée ensuite une porte dérobée complète. À l’aide de celle-ci, BlueNoroff déploie d’autres outils malveillants pour surveiller la victime : un enregistreur de frappe (keylogger) et un logiciel de capture d’écran. », souligne les chercheurs.
« Comme les attaquants trouvent sans cesse de nouveaux moyens de tromper et de détourner, même les petites entreprises devraient former leurs employés aux pratiques de base en matière de cybersécurité. C’est particulièrement essentiel si l’entreprise travaille avec des portefeuilles de crypto-monnaies : il n’y a rien de mal à utiliser des services et des extensions de crypto-monnaies, mais notez que c’est aussi une cible attrayante pour les groupes APT et les cybercriminels. Par conséquent, ce secteur doit être bien protégé », déclare à son tour Seongsu Park, chercheur principal en sécurité du GReAT (Global Research and Analysis Team) de Kaspersky.
Accédez maintenant à un nombre illimité de mot de passe :