CryptoCore-hackere målretter med passordbehandlerkontoer
I går publiserte cybersecurity-selskapet ClearSky en rapport om en hackinggruppe kalt CryptoCore. Gjengen, også kjent som Dangerous Password og Leery Turtle, er angivelig lokalisert i Øst-Europa, og dens handlinger er også fulgt av andre sikkerhetsantrekk. ClearSky's eksperter regner imidlertid med at CryptoCores virksomhet er mye større enn først antatt. De tror at mannskapet siden mai 2018 har klart å rake opp så mye som 200 millioner dollar i ulovlig fortjeneste. Gårsdagens rapport kaster litt lys over hvordan den klarte å gjøre det.
Table of Contents
Rekognoseringen
CryptoCores ofre er nesten utelukkende cryptocurrency-børser og selskaper som jobber med dem. Før hackere gjennomfører selve angrepet, gjennomgår hackerne en lang rekognoseringsprosess, som består i å identifisere de høytstående ansatte som de vil målrette mot, samle så mye etterretning om dem som mulig, og i noen tilfeller kompromittere deres personlige e-postkontoer. .
I følge ClearSky er det lettere å trekke angrepene på personlige e-poster, men enda viktigere, de gir en utmerket informasjonskilde og kan hjelpe hackere med å kompromittere målets bedriftsinnboks. Selve angrepskjeden er en blanding av velprøvde teknikker og nye, innovative triks som, hvis ClearSky anslår om 200 millioner dollar i fortjeneste, er riktig, fungerer ganske bra.
Samfunnsteknikken
Angrepene starter med spearphishing-e-postmeldinger som varierer i grad av raffinement. I noen tilfeller er meldingene temmelig mistenksomme, og i andre, bar den rare feilplasserte komma, de er nesten perfekte både når det gjelder grammatikk og sosial ingeniørfag.
I de fleste angrep får cryptocurrency børsens ledere beskjed om at ved å klikke på en kobling, vil de få tilgang til et viktig arbeidsrelatert dokument. CryptoCore benytter seg av domenenavn som ligner på populære online plattformer som Google Drive, og i noen av angrepene bruker hackerne HTML for å skjule de ondsinnede URL-ene bak legitime utseende-lenker. Hackerne har også brukt URL-forkortingstjenester ikke bare fordi de kunne hjelpe dem med å unndra seg oppdagelse, men også fordi de gir dem en ide om hvor mange ofre som faller for ordningen.
Mål som klikker gjennom laster ned et arkiv med to filer. Den første er en passordbeskyttet PDF-, DOCX- eller XLSX-fil som visstnok er det arbeidsrelaterte dokumentet som er nevnt i e-postadressen. Offeret blir ført til å tro at passordet som låser opp det, er lagret i "password.txt" - den andre filen i arkivet.
De mer observante mottakerne kan imidlertid legge merke til at passord.txt-filen faktisk har en dobbel utvidelse. Dets fulle navn er "password.txt.lnk," og det er der selve angrepet starter.
Angrepet
LNK-filer er vanlige Windows-snarveier, og de har blitt brukt av andre nettkriminelle gjenger også. CryptoCores LNK-fil lenker til et stykke ondsinnet VBS-kode som kobles til Command and Control server (C&C) og fortsetter til neste trinn i angrepet. For å sikre at offeret ikke er klokere, laster ned skriptet og åpner en TXT-fil som inneholder det som ser ut som det lovede passordet.
I bakgrunnen laster den imidlertid ned og lagrer nyttelasten i mappen% temp% og plasserer en annen VBS-fil i oppstartskatalogen for å sikre at skadelig programvare starter når PC-en starter opp.
Heisten
Som vi allerede nevnte, er CryptoCores angrep rettet mot sentrale ansatte i cryptocurrency-utvekslinger, noe som betyr at vanlige brukere neppe blir berørt av denne spesielle kampanjen. Dette betyr ikke at folk ikke skal ta hensyn til det.
ClearSkys eksperter nevnte ikke de spesifikke verktøyene som ble brukt i CryptoCores angrep, men de sa at nettkriminellene går etter ofrenes passordbehandlerkontoer. Der inne finner hackerne informasjonen de trenger for å omdirigere millioner av digitale mynter fra børsens aktive lommebøker til adresser som kontrolleres av dem.
De faktiske mekanismene for innbrudd forblir ukjente, og det er ingen informasjon om spesifikke passordadministrasjonsapplikasjoner er målrettet. Den stjålne cryptocurrencyen beviser imidlertid at angrepene har vært vellykkede, noe som kan vekke mistanke mot passordbehandlere hos noen brukere. Det ville være helt uberettiget.
Passordbehandlere er de beste verktøyene for å organisere og lagre innloggingsdata, og det skal ikke være noen tvil om dette i noens sinn. Dessverre kan til og med et passordbehandlers forsvar svekkes av dårlig cybersikkerhetshygiene fra brukerens side. Folk må huske at hovedpassordet må være sterkt, langt og avgjørende unikt, og de må dra nytte av ekstra sikkerhetsfunksjoner som tofaktorautentisering som noen passordledere tilbyr. Vi har kanskje ikke de tekniske detaljene rundt CryptoCores angrep, men vi vet at de alle er avhengige av at brukeren også klikker på en kobling i en e-post, noe som viser at det er på høy tid at alle begynner å behandle meldingene i innboksen med en sunn dose mistanke.
