Представительство «Лаборатории Касперского» в Армении.  Эксперты компании «Лаборатория Касперского» тщательно исследовали вредоносную кампанию, нацеленную на организации разных стран, в основном стартапы, работающие с криптовалютами, смарт-контрактами, децентрализованными финансами, блокчейном. По ряду признаков данная кампания, получившая название SnatchCrypto, имеет отношение к уже известной APT-группировке BlueNoroff, которая, в частности, стояла за атакой на центральный банк Бангладеш в 2016 году.

 

По данным компании, кампания решает задачи сбора информации и непосредственно кражи криптовалют: в первую очередь интересны учетные записи пользователей, IP-адреса, информация о сессиях, а также конфигурационные файлы от программ, непосредственно работающих с криптовалютой (они могут содержать учетные данные и другую информацию об аккаунтах). 

 

Один из используемых преступниками методов связан с популярными браузерными расширениями для управления криптокошельками. Они меняют в настройках источник расширения с официального веб-магазина на локальное хранилище и таким образом замещают его собственной версией программы, используя ее для мониторинга транзакций. При помощи расширения Metamask для Chrome они также умеют подменять логику транзакций, причем этот метод позволяет похитить средства из кошелька, даже если пользователь применяет аппаратный кошелек для подписи переводов криптовалюты.

Эксперты выяснили, что злоумышленники используют социальную инженерию, как правило, имитируя письма от существующих венчурных компаний, помещая в качестве аттачмента документ с поддержкой макросов, открытие которого в итоге приводит к загрузке бэкдора. 

 

«Поскольку злоумышленники постоянно придумывают новые способы обмана, даже малому бизнесу нужно обучать своих сотрудников основам кибербезопасности. Это особенно важно, если компания работает с криптокошельками: стоит помнить, что криптовалютные сервисы и расширения являются привлекательной целью как для кибергрупп, так и для рядовых мошенников, поэтому нуждаются в хорошей защите», — комментирует Сонсу Пак (Seonsgu Park), старший исследователь Глобального центра исследований и анализа угроз (GReAT) «Лаборатории Касперского».

 

Сообщается, что для применения модифицированного расширения Metamask злоумышленникам приходится переводить браузер в режим разработчика и устанавливать расширение из локального каталога, а не из онлайн-репозитория. Это легко проверить самостоятельно: если режим переключен без ведома пользователя, а расширение подгружено из локального каталога, значит, дело нечисто.

 

Для защиты следует обучать сотрудников основам кибербезопасности; своевременно обновлять критически важные приложения (в том числе ОС и офисный пакет); снабжать любой компьютер, имеющий выход в Интернет надежным защитным решением; по возможности использовать решения Endpoint Detection and Response, которые позволят выявлять сложные угрозы, а также облегчат расследование и реагирование на киберинциденты.

 

Представительство компании «Лаборатория Касперского» в Армении

 

 

 

 

 

  -   Пресс-релизы