Gli hacker CryptoCore prendono di mira gli account gestore password
Ieri, la società di sicurezza informatica ClearSky ha pubblicato un rapporto su un gruppo di hacker chiamato CryptoCore. Conosciuto anche come Dangerous Password e Leery Turtle, la banda si trova nell'Europa orientale e le sue azioni sono state seguite anche da altri equipaggiamenti di sicurezza. Gli esperti di ClearSky calcolano, tuttavia, che le operazioni di CryptoCore sono molto più grandi di quanto inizialmente stimato. Pensano che da maggio 2018 l'equipaggio sia riuscito a raccogliere fino a $ 200 milioni di profitti illegali. Il rapporto di ieri fa luce su come è riuscito a farlo.
Table of Contents
La ricognizione
Le vittime di CryptoCore sono quasi esclusivamente scambi di criptovaluta e aziende che lavorano con loro. Prima di eseguire l'attacco reale, gli hacker passano attraverso un lungo processo di ricognizione, che consiste nell'identificare i dipendenti di alto livello che prenderanno di mira, raccogliendo quanta più intelligenza possibile su di loro e, in alcuni casi, compromettendo i loro account di posta elettronica personali.
Secondo ClearSky, gli attacchi alle e-mail personali sono più facili da eseguire, ma soprattutto forniscono un'eccellente fonte di informazioni e possono aiutare gli hacker a compromettere la posta in arrivo aziendale del target. L'attuale catena di attacco è una miscela di tecniche collaudate e nuovi, innovativi trucchi che, se le stime di ClearSky sui profitti di $ 200 milioni sono corrette, chiaramente funzionano piuttosto bene.
L'ingegneria sociale
Gli attacchi iniziano con email di spearphishing che variano nel loro grado di raffinatezza. In alcuni casi, i messaggi sono piuttosto sospettosi e in altri, a parte la strana virgola fuori posto, sono quasi perfetti sia in termini di grammatica che di ingegneria sociale.
Nella maggior parte degli attacchi, ai dirigenti dello scambio di criptovaluta viene detto che facendo clic su un collegamento, avranno accesso a un importante documento relativo al lavoro. CryptoCore fa un uso intensivo di nomi di dominio simili a piattaforme online popolari come Google Drive e, in alcuni degli attacchi, gli hacker utilizzano HTML per nascondere gli URL malevoli dietro collegamenti dall'aspetto legittimo. Gli hacker hanno anche utilizzato i servizi di abbreviazione degli URL non solo perché potrebbero aiutarli a sfuggire al rilevamento, ma anche perché danno loro un'idea di quante vittime rientrano nello schema.
I target che fanno clic scaricano un archivio con due file. Il primo è un file PDF, DOCX o XLSX protetto da password che è presumibilmente il documento relativo al lavoro menzionato nel corpo dell'e-mail. La vittima è indotta a credere che la password che lo sblocca sia memorizzata in "password.txt", il secondo file nell'archivio.
I destinatari più osservanti, tuttavia, potrebbero notare che il file password.txt ha in realtà una doppia estensione. Il suo nome completo è "password.txt.lnk", ed è dove inizia l'attacco effettivo.
L'attacco
I file LNK sono normali scorciatoie di Windows e sono stati utilizzati anche da altre bande criminali informatiche. Il file LNK di CryptoCore si collega a un pezzo di codice VBS dannoso che si collega al server Command and Control (C&C) e passa alla fase successiva dell'attacco. Per garantire che la vittima non sia la più saggia, lo script scarica e apre un file TXT che contiene quella che sembra la password promessa.
In background, tuttavia, scarica e memorizza il payload nella cartella% temp% e posiziona un altro file VBS nella directory di avvio per garantire che il malware si avvii all'avvio del PC.
La rapina
Come già accennato, gli attacchi di CryptoCore prendono di mira dipendenti chiave degli scambi di criptovaluta, il che significa che è improbabile che gli utenti regolari siano interessati da questa particolare campagna. Questo non significa che le persone non dovrebbero prestare attenzione ad esso, comunque.
Gli esperti di ClearSky non hanno nominato gli strumenti specifici utilizzati negli attacchi di CryptoCore, ma hanno anche affermato che i criminali informatici stanno inseguendo gli account del gestore delle password delle vittime. Lì, gli hacker trovano le informazioni di cui hanno bisogno per reindirizzare milioni di monete digitali dai portafogli attivi dello scambio agli indirizzi da loro controllati.
Gli effettivi meccanismi di intrusione rimangono sconosciuti e non ci sono informazioni sul fatto che siano mirate specifiche applicazioni di gestione delle password. La criptovaluta rubata dimostra, tuttavia, che gli attacchi hanno avuto successo, il che potrebbe sollevare sospetti nei confronti dei gestori di password in alcuni utenti. Sarebbe del tutto ingiustificato.
I gestori di password sono gli strumenti migliori per organizzare e archiviare i dati di accesso e non dovrebbero esserci dubbi a riguardo. Sfortunatamente, anche le difese di un gestore di password possono essere indebolite da una scarsa igiene della sicurezza informatica da parte dell'utente. Le persone devono ricordare che la loro password principale deve essere forte, lunga e, soprattutto, unica e che devono sfruttare le funzionalità di sicurezza aggiuntive come l'autenticazione a due fattori che alcuni gestori di password offrono. Potremmo non avere i dettagli tecnici sugli attacchi di CryptoCore, ma sappiamo che sono tutti dipendenti dal fatto che l'utente faccia clic su un collegamento in un'e-mail, il che dimostra che è giunto il momento che tutti inizino a trattare i messaggi nella loro posta in arrivo con una sana dose di sospetto.
