La búsqueda de criptomonedas de BlueNoroff

Nuestros expertos han descubierto una campaña maliciosa dirigida a las empresas del sector fintech.

Nuestros expertos han estado estudiando una campaña maliciosa dirigida a empresas que trabajan con criptomonedas, contratos inteligentes, finanzas descentralizadas y tecnología de cadena de bloques. Los atacantes están interesados en la industria fintech en general y su campaña, llamada SnatchCrypto, está relacionada con el grupo de APT BlueNoroff, una entidad conocida ya rastreada en el ataque del 2016 al banco central de Bangladés.

Los objetivos de SnatchCrypto

Los autores de esta campaña tienen dos objetivos: recopilar información y robar criptomonedas. Principalmente están interesados en recopilar datos de cuentas de usuario, direcciones IP e información de sesiones; además, también roban archivos de configuración de programas que trabajan directamente con criptomonedas y que pueden contener credenciales y demás información sobre las cuentas. Los atacantes estudian minuciosamente a las víctimas potenciales, de hecho, a veces llegan a monitorizar su actividad durante meses.

Uno de sus métodos supone la manipulación de extensiones de navegador populares para la gestión de monederos de criptomonedas. Por ejemplo, pueden cambiar la fuente de una extensión en los ajustes del navegador para que se instale desde el almacenamiento local (es decir, una versión modificada) en lugar de la página web oficial de la tienda. También pueden usar la extensión de Metamask modificada para Chrome con el objetivo de reemplazar la lógica de transacción, lo que les permite robar fondos incluso de aquellos que usan dispositivos de hardware para firmar transferencias de criptomonedas.

Los métodos de invasión de BlueNoroff

Los atacantes estudian con detenimiento a sus víctimas y utilizan la información que obtienen para implementar ataques de ingeniería social. Como norma general, escriben e-mails que parecen provenir de empresas de capital de riesgo reales, pero con un documento adjunto habilitado para macros. Una vez abierto, este documento descarga una puerta trasera. Para más información técnica sobre el ataque y sus métodos, puedes visitar este artículo de Securelist.

Cómo proteger tu empresa de los ataques de SnatchCrypto

Una señal clara de actividad de SnatchCrypto es una extensión de MetaMask modificada. Para usarla, los atacantes tienen que poner el navegador en modo desarrollador e instalar la extensión de MetaMask desde un directorio local. Es muy fácil comprobarlo: si el modo del navegador se ha cambiado sin tu permiso y la extensión se carga desde un directorio local, lo más probable es que tu dispositivo esté comprometido.

Además, te recomendamos utilizar las siguientes medidas de protección habituales:

  • Conciencia de forma habitual a tus empleados sobre lciberseguridad.
  • Actualiza las aplicaciones críticas de inmediato (incluidos los paquetes ofimáticos y el sistema operativo).
  • Equipa cada ordenador que tenga acceso a Internet con una solución de seguridad de confianza.
  • Utiliza una solución EDR (si es apropiada para tu infraestructura) que te permita detectar amenazas complejas y te ayude a responder a tiempo.

 

Consejos