Gli esperti di Kaspersky hanno scoperto una campagna dannosa che prende di mira le aziende che lavorano con criptovalute, contratti intelligenti, finanza decentralizzata e tecnologia blockchain. La campagna, denominata SnatchCrypto, è legata al gruppo APT BlueNoroff, un’entità nota già rintracciata nell’attacco del 2016 alla banca centrale del Bangladesh.
Gli obiettivi dei cybercriminali dietro questa campagna sono due: raccogliere informazioni e rubare criptovalute. Principalmente gli attori sono interessati a raccogliere dati sugli account degli utenti, indirizzi IP e informazioni di sessione, e rubano i file di configurazione dei programmi che lavorano direttamente con le criptovalute e possono contenere credenziali e altre informazioni sugli account.
I criminali informatici studiano attentamente le potenziali vittime, a volte monitorando la loro attività per mesi. Tra i metodi utilizzati uno riguarda manipolazioni con le estensioni del browser popolari per la gestione dei wallet di criptovalute.
“Per esempio, possono cambiare la fonte di un’estensione nelle impostazioni del browser in modo che venga installata dalla memoria locale (cioè, una versione modificata) invece che dal negozio web ufficiale. Possono anche utilizzare l’estensione Metamask modificata per Chrome per sostituire la logica delle transazioni, consentendo loro di rubare fondi anche da coloro che utilizzano dispositivi hardware per firmare i trasferimenti di criptovaluta”, spiegano gli esperti.
Gli hacker applicano le informazioni che ottengono delle vittime per implementare attacchi di social-engineering, creando solitamente delle e-mail che sembrano provenire da aziende esistenti, ma con un documento allegato, abilitato alle macro che, una volta aperto, infine scarica una backdoor.
https://www.kaspersky.it/blog/snatchcrypto-bluenoroff/26339/
