Les hackers CryptoCore ciblent les comptes Password Manager
Hier, la société de cybersécurité ClearSky a publié un rapport sur un groupe de piratage appelé CryptoCore. Également connu sous le nom de Dangerous Password et Leery Turtle, le gang serait situé en Europe de l'Est, et ses actions ont également été suivies par d'autres tenues de sécurité. Les experts de ClearSky estiment cependant que les opérations de CryptoCore sont beaucoup plus importantes que ce qui avait été initialement estimé. Ils pensent que depuis mai 2018, l'équipage a réussi à récolter jusqu'à 200 millions de dollars de profits illégaux. Le rapport d'hier met en lumière la façon dont il a réussi à le faire.
Table of Contents
La reconnaissance
Les victimes de CryptoCore sont presque exclusivement des échanges de crypto-monnaie et des entreprises qui travaillent avec elles. Avant d'exécuter l'attaque proprement dite, les pirates informatiques passent par un long processus de reconnaissance, qui consiste à identifier les employés de haut rang qu'ils cibleront, à recueillir autant d'informations que possible à leur sujet et, dans certains cas, à compromettre leurs comptes de messagerie personnels. .
Selon ClearSky, les attaques contre les e-mails personnels sont plus faciles à réaliser, mais plus important encore, elles fournissent une excellente source d'informations et peuvent aider les pirates à compromettre la boîte de réception d'entreprise de la cible. La chaîne d'attaque réelle est un mélange de techniques éprouvées et de nouvelles astuces innovantes qui, si les estimations de ClearSky sur les 200 millions de dollars de bénéfices sont correctes, fonctionnent clairement plutôt bien.
L'ingénierie sociale
Les attaques commencent par des e-mails spearphishing dont le degré de sophistication varie. Dans certains cas, les messages sont plutôt suspects, et dans d'autres, à l'exception de la virgule étrange et mal placée, ils sont presque parfaits en termes de grammaire et d'ingénierie sociale.
Dans la plupart des attaques, les dirigeants de l'échange de crypto-monnaie sont informés qu'en cliquant sur un lien, ils auront accès à un document important lié au travail. CryptoCore fait un usage intensif de noms de domaine qui ressemblent à des plates-formes en ligne populaires comme Google Drive, et dans certaines attaques, les pirates utilisent du HTML pour masquer les URL malveillantes derrière des liens d'apparence légitime. Les pirates ont également utilisé des services de raccourcissement d'URL non seulement parce qu'ils pourraient les aider à échapper à la détection, mais aussi parce qu'ils leur donnent une idée du nombre de victimes tombées dans le système.
Les cibles qui cliquent sur téléchargent une archive avec deux fichiers. Le premier est un fichier PDF, DOCX ou XLSX protégé par mot de passe qui est censé être le document professionnel mentionné dans le corps de l'e-mail. La victime est amenée à croire que le mot de passe qui le déverrouille est stocké dans "password.txt" - le deuxième fichier de l'archive.
Les destinataires les plus attentifs peuvent cependant remarquer que le fichier password.txt a en fait une double extension. Son nom complet est "password.txt.lnk" et c'est là que l'attaque commence.
L'attaque
Les fichiers LNK sont des raccourcis Windows classiques, et ils ont également été utilisés par d'autres gangs de cybercriminels. Le fichier LNK de CryptoCore est lié à un morceau de code VBS malveillant qui se connecte au serveur de commande et de contrôle (C&C) et passe à l'étape suivante de l'attaque. Pour s'assurer que la victime n'est pas plus sage, le script télécharge et ouvre un fichier TXT qui contient ce qui ressemble au mot de passe promis.
En arrière-plan, cependant, il télécharge et stocke la charge utile dans le dossier% temp% et place un autre fichier VBS dans le répertoire de démarrage afin de s'assurer que le malware démarre à chaque démarrage du PC.
Le casse
Comme nous l'avons déjà mentionné, les attaques de CryptoCore ciblent les employés clés des échanges de crypto-monnaie, ce qui signifie que les utilisateurs réguliers sont peu susceptibles d'être affectés par cette campagne particulière. Cela ne signifie pas pour autant que les gens ne devraient pas y prêter attention.
Les experts de ClearSky n'ont pas nommé les outils spécifiques utilisés dans les attaques de CryptoCore, mais ils ont dit que les cybercriminels s'en prennent aux comptes du gestionnaire de mots de passe des victimes. Là-bas, les pirates trouvent les informations dont ils ont besoin pour rediriger des millions de pièces numériques des portefeuilles actifs de la bourse vers des adresses contrôlées par eux.
Les mécanismes réels d'intrusion restent inconnus et il n'y a aucune information indiquant si des applications spécifiques de gestion des mots de passe sont ciblées. La crypto-monnaie volée prouve cependant que les attaques ont réussi, ce qui pourrait éveiller les soupçons envers les gestionnaires de mots de passe chez certains utilisateurs. Ce serait totalement injustifié.
Les gestionnaires de mots de passe sont les meilleurs outils pour organiser et stocker les données de connexion, et cela ne devrait faire aucun doute dans l'esprit de personne. Malheureusement, même les défenses d'un gestionnaire de mots de passe peuvent être affaiblies par une mauvaise hygiène de cybersécurité de la part de l'utilisateur. Les gens doivent se rappeler que leur mot de passe principal doit être solide, long et, surtout, unique, et ils doivent profiter des fonctionnalités de sécurité supplémentaires comme l'authentification à deux facteurs que certains gestionnaires de mots de passe offrent. Nous ne disposons peut-être pas des détails techniques concernant les attaques de CryptoCore, mais nous savons qu'ils dépendent tous de l'utilisateur qui clique sur un lien dans un e-mail également, ce qui montre qu'il est grand temps que tout le monde commence à traiter les messages dans sa boîte de réception avec une bonne dose de suspicion.
