CryptoCore-Hacker zielen auf Password Manager-Konten ab
Gestern hat das Cybersicherheitsunternehmen ClearSky einen Bericht über eine Hacking-Gruppe namens CryptoCore veröffentlicht. Die Bande, die auch als Dangerous Password und Leery Turtle bekannt ist, befindet sich angeblich in Osteuropa, und ihren Aktionen folgten auch andere Sicherheitskräfte. Die Experten von ClearSky gehen jedoch davon aus, dass die Operationen von CryptoCore viel größer sind als ursprünglich angenommen. Sie glauben, dass es der Besatzung seit Mai 2018 gelungen ist, illegale Gewinne in Höhe von bis zu 200 Millionen US-Dollar zu erzielen. Der gestrige Bericht gibt Aufschluss darüber, wie es gelungen ist.
Table of Contents
Die Aufklärung
Die Opfer von CryptoCore sind fast ausschließlich Kryptowährungsbörsen und Unternehmen, die mit ihnen zusammenarbeiten. Bevor der eigentliche Angriff ausgeführt wird, durchlaufen die Hacker einen langen Aufklärungsprozess, der darin besteht, die hochrangigen Mitarbeiter zu identifizieren, auf die sie abzielen, so viel Informationen wie möglich über sie zu sammeln und in einigen Fällen ihre persönlichen E-Mail-Konten zu gefährden .
Laut ClearSky lassen sich Angriffe auf persönliche E-Mails leichter abwehren. Noch wichtiger ist jedoch, dass sie eine hervorragende Informationsquelle darstellen und Hackern dabei helfen können, den Unternehmenseingang des Ziels zu gefährden. Die eigentliche Angriffskette ist eine Mischung aus bewährten Techniken und neuen, innovativen Tricks, die, wenn ClearSkys Schätzungen über die Gewinne von 200 Millionen US-Dollar korrekt sind, eindeutig recht gut funktionieren.
Das Social Engineering
Die Angriffe beginnen mit Spearphishing-E-Mails, die sich in ihrem Anspruch unterscheiden. In einigen Fällen sehen die Nachrichten eher verdächtig aus, und in anderen Fällen sind sie, abgesehen von dem merkwürdigen falsch platzierten Komma, sowohl in Bezug auf Grammatik als auch in Bezug auf Social Engineering nahezu perfekt.
Bei den meisten Angriffen wird den Führungskräften des Kryptowährungsaustauschs mitgeteilt, dass sie durch Klicken auf einen Link Zugriff auf ein wichtiges arbeitsbezogenes Dokument erhalten. CryptoCore verwendet häufig Domain-Namen, die gängigen Online-Plattformen wie Google Drive ähneln. Bei einigen Angriffen verwenden die Hacker HTML, um die schädlichen URLs hinter legitim aussehenden Links zu verbergen. Die Hacker haben auch URL-Verkürzungsdienste verwendet, nicht nur, weil sie ihnen helfen könnten, sich der Entdeckung zu entziehen, sondern auch, weil sie ihnen eine Vorstellung davon geben, wie viele Opfer auf das System hereinfallen.
Ziele, die sich durchklicken, laden ein Archiv mit zwei Dateien herunter. Die erste ist eine passwortgeschützte PDF-, DOCX- oder XLSX-Datei, die angeblich das im Text der E-Mail erwähnte arbeitsbezogene Dokument ist. Das Opfer wird zu der Annahme gebracht, dass das Passwort, das es entsperrt, in "password.txt" gespeichert ist - der zweiten Datei im Archiv.
Die aufmerksameren Empfänger bemerken jedoch möglicherweise, dass die Datei password.txt tatsächlich eine doppelte Erweiterung hat. Der vollständige Name lautet "password.txt.lnk" und hier beginnt der eigentliche Angriff.
Der Angriff
LNK-Dateien sind reguläre Windows-Verknüpfungen und wurden auch von anderen Cyberkriminellen verwendet. Die LNK-Datei von CryptoCore ist mit einem bösartigen VBS-Code verknüpft, der eine Verbindung zum Command and Control-Server (C & C) herstellt und zur nächsten Stufe des Angriffs übergeht. Um sicherzustellen, dass das Opfer nicht klüger ist, lädt das Skript eine TXT-Datei herunter und öffnet sie, die das versprochene Passwort enthält.
Im Hintergrund werden jedoch die Nutzdaten heruntergeladen und im Ordner% temp% gespeichert und eine weitere VBS-Datei im Startverzeichnis abgelegt, um sicherzustellen, dass die Malware beim Hochfahren des PCs gestartet wird.
Der Diebstahl
Wie bereits erwähnt, zielen die Angriffe von CryptoCore auf wichtige Mitarbeiter des Kryptowährungsaustauschs ab. Daher ist es unwahrscheinlich, dass reguläre Benutzer von dieser bestimmten Kampagne betroffen sind. Dies bedeutet jedoch nicht, dass die Leute nicht darauf achten sollten.
Die Experten von ClearSky nannten nicht die spezifischen Tools, die bei den Angriffen von CryptoCore verwendet wurden, aber sie sagten, dass die Cyberkriminellen die Passwort-Manager-Konten der Opfer verfolgen. Dort finden die Hacker die Informationen, die sie benötigen, um digitale Münzen im Wert von Millionen aus den aktiven Geldbörsen der Börse an von ihnen kontrollierte Adressen umzuleiten.
Die tatsächlichen Mechanismen des Einbruchs sind unbekannt, und es gibt keine Informationen darüber, ob bestimmte Kennwortverwaltungsanwendungen als Ziel ausgewählt werden. Die gestohlene Kryptowährung beweist jedoch, dass die Angriffe erfolgreich waren, was bei einigen Benutzern den Verdacht auf Passwortmanager wecken könnte. Es wäre völlig ungerechtfertigt.
Passwort-Manager sind die besten Tools zum Organisieren und Speichern von Anmeldedaten, und daran sollte niemand zweifeln. Leider kann sogar die Verteidigung eines Passwort-Managers durch eine schlechte Cybersicherheitshygiene des Benutzers geschwächt werden. Die Benutzer müssen sich daran erinnern, dass ihr Hauptkennwort sicher, lang und vor allem eindeutig sein muss und dass sie zusätzliche Sicherheitsfunktionen wie die Zwei-Faktor-Authentifizierung nutzen müssen, die einige Kennwortmanager anbieten. Wir haben möglicherweise nicht die technischen Details zu den Angriffen von CryptoCore, aber wir wissen, dass sie alle davon abhängen, dass der Benutzer auch auf einen Link in einer E-Mail klickt. Dies zeigt, dass es höchste Zeit ist, dass jeder die Nachrichten in seinem Posteingang mit behandelt eine gesunde Dosis Verdacht.
