Nuova campagna di furti di criptovalute a caccia di Big Game
È in corso una nuova campagna che mira non ai portafogli crittografici degli individui, ma ai portafogli di organizzazioni più grandi. La nuova spinta dannosa ha ricevuto il soprannome di SnatchCrypto e si ritiene che sia sostenuta da fondi statali nordcoreani.
Secondo i ricercatori di sicurezza che hanno rivelato la campagna SnatchCrypto, l'entità dietro l'intera faccenda sembra essere una propaggine dell'APT Lazarus sostenuto dalla Corea del Nord, chiamato BlueNoroff. Lazarus è l'entità madre più grande che ha fatto notizia più volte negli ultimi anni. Gli operatori di Lazarus sono specializzati nel colpire istituzioni e piattaforme finanziarie, quindi non c'è da stupirsi che sarebbero coinvolti anche in SnatchCrypto.
Finora BlueNoroff ha portato a termine molteplici attacchi contro organizzazioni collegate alla criptovaluta in generale. Ciò che i ricercatori hanno notato è che l'APT BlueNoroff richiede molto tempo e si prepara con molta attenzione quando si avvicina alle sue vittime e probabilmente utilizza un mix di ingegneria sociale e corrispondenza commerciale falsa ma credibile per ottenere la fiducia di alcuni dei membri della sua vittima.
ZDNet ha citato i ricercatori che hanno pubblicato un articolo su BlueNoroff, affermando che arrivano al punto di individuare "argomenti di interesse" all'interno dell'organizzazione presa di mira e quindi inviare documenti e file dannosi strettamente legati all'argomento della discussione interna dell'azienda. Questo è un livello di dedizione e precisione che pochi APT possono mostrare.
Gli attacchi impiegati da BlueNoroff utilizzano una vulnerabilità di esecuzione di codice remoto per prelevare il carico utile da un server. I privilegi di accesso al sistema vengono aumentati prima della distribuzione del payload principale.
Una curiosità molto interessante che BlueNoroff fa nel loro attacco è che hanno una macro VisualBasic che viene utilizzata per rimuovere il collegamento al payload dannoso memorizzato nel documento originale utilizzato per avviare l'attacco. Ciò significa che il file è, a tutti gli effetti, pulito e sicuro, il che crea ulteriori complicazioni per i ricercatori di sicurezza.
L'attacco si conclude con l'implementazione di uno strumento backdoor personalizzato che monitora il sistema host e tenta di intercettare e intercettare quando rileva una transazione di criptovaluta.
Secondo le statistiche raccolte dai ricercatori di sicurezza con Chainalysis, nel corso del 2021 gli attori delle minacce nordcoreani sono riusciti a rubare l'incredibile cifra di 400 milioni di dollari in criptovalute.