Эксперты раскрыли серию атак кибергруппы BlueNoroff на малый и средний бизнес по всему миру.
Кампания, получившая название SnatchCrypto, нацелена на организации, которые работают с криптовалютами, смарт-контрактами, сервисами децентрализованных финансов, блокчейном и финтех-индустрией. Злоумышленники делают ставку на человеческий фактор, отправляя сотрудникам организаций-жертв полнофункциональный бэкдор Windows под видом договора или другого документа. Чтобы красть криптовалюту, злоумышленники разработали сложную инфраструктуру, эксплойты, вредоносные импланты.
BlueNoroff сконцентрировалась на атаках на криптовалютные стартапы, потому что большинство таких компаний не могут позволить себе крупные инвестиции в систему безопасности. Злоумышленники знают об этом и применяют в атаках на стартапы сложные схемы социальной инженерии. Так, BlueNoroff рассылает письма якобы от существующих венчурных компаний в качестве приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов.
Если документ с поддержкой макросов открывается на устройстве, не подключённом к интернету, он не представляет опасности. Скорее всего, он будет выглядеть как договор или другой безобидный документ. Но если в момент запуска файла компьютер подключён к интернету, то на устройство жертвы загружается другой документ с поддержкой макросов, развёртывающий вредоносное ПО.
По данным исследователей, злоумышленники получают уведомление о крупных переводах. Когда скомпрометированный пользователь пытается перевести деньги на другой счёт, они перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент атакующие меняют адрес получателя и увеличивают сумму перевода до максимума, фактически опустошая счёт одним движением.
