Hackers CryptoCore segmentam contas do Gerenciador de senhas

CryptoCore Targets Password Manager Accounts

Ontem, a empresa de segurança cibernética ClearSky publicou um relatório sobre um grupo de hackers chamado CryptoCore. Também conhecida como Senha Perigosa e Tartaruga Leery, a quadrilha supostamente está localizada na Europa Oriental, e suas ações foram seguidas por outros equipamentos de segurança. Os especialistas da ClearSky calculam, no entanto, que as operações da CryptoCore são muito maiores do que as inicialmente estimadas. Eles acham que, desde maio de 2018, a equipe conseguiu arrecadar até US $ 200 milhões em lucros ilegais. O relatório de ontem lança alguma luz sobre como conseguiu fazê-lo.

O reconhecimento

As vítimas do CryptoCore são quase exclusivamente trocas de criptomoedas e empresas que trabalham com eles. Antes de executar o ataque real, os hackers passam por um longo processo de reconhecimento, que consiste em identificar os funcionários de alto escalão que eles atingirão, reunindo o máximo de inteligência possível sobre eles e, em alguns casos, comprometendo suas contas de email pessoais .

De acordo com o ClearSky, os ataques a e-mails pessoais são mais fáceis de executar, mas, mais importante, eles fornecem uma excelente fonte de informações e podem ajudar os hackers a comprometer a caixa de entrada corporativa do alvo. A cadeia de ataque real é uma mistura de técnicas comprovadas e truques novos e inovadores que, se as estimativas da ClearSky sobre os US $ 200 milhões em lucros estiverem corretas, claramente funcionam muito bem.

A engenharia social

Os ataques começam com e-mails com spearphishing que variam em seu grau de sofisticação. Em alguns casos, as mensagens têm aparência bastante suspeita e, em outros, com exceção da vírgula extraviada, são quase perfeitas tanto em termos de gramática quanto de engenharia social.

Na maioria dos ataques, os executivos da bolsa de criptomoedas são informados de que, clicando em um link, eles terão acesso a um documento importante relacionado ao trabalho. O CryptoCore faz uso pesado de nomes de domínio que se parecem com plataformas online populares como o Google Drive e, em alguns dos ataques, os hackers empregam HTML para ocultar os URLs maliciosos por trás de links de aparência legítima. Os hackers também usaram serviços de encurtamento de URL não apenas porque poderiam ajudá-los a evitar a detecção, mas também porque lhes deram uma idéia de quantas vítimas caem no esquema.

Os destinos que clicam no download de um arquivo morto com dois arquivos. O primeiro é um arquivo PDF, DOCX ou XLSX protegido por senha que é supostamente o documento relacionado ao trabalho mencionado no corpo do email. A vítima é levada a acreditar que a senha que a desbloqueia está armazenada em "password.txt" - o segundo arquivo no arquivo morto.

Os destinatários mais atentos, no entanto, podem perceber que o arquivo password.txt realmente possui uma extensão dupla. Seu nome completo é "password.txt.lnk" e é onde o ataque real começa.

O ataque

Os arquivos LNK são atalhos regulares do Windows e também foram usados por outras gangues de criminosos cibernéticos. O arquivo LNK do CryptoCore é vinculado a um código VBS malicioso que se conecta ao servidor de Comando e Controle (C&C) e prossegue para a próxima etapa do ataque. Para garantir que a vítima não seja a mais sábia, o script baixa e abre um arquivo TXT que contém o que parece com a senha prometida.

Em segundo plano, no entanto, ele baixa e armazena a carga na pasta% temp% e coloca outro arquivo VBS no diretório de inicialização para garantir que o malware inicie sempre que o PC for inicializado.

O roubo

Como já mencionamos, os ataques do CryptoCore visam os principais funcionários das trocas de criptomoedas, o que significa que é improvável que os usuários comuns sejam afetados por essa campanha em particular. Isso não significa que as pessoas não devam prestar atenção a isso, no entanto.

Os especialistas do ClearSky não mencionaram as ferramentas específicas usadas nos ataques do CryptoCore, mas disseram que os cibercriminosos estão perseguindo as contas de gerenciadores de senhas das vítimas. Lá, os hackers encontram as informações necessárias para redirecionar milhões de moedas digitais das carteiras ativas da bolsa para os endereços por eles controlados.

Os mecanismos reais de invasão permanecem desconhecidos e não há informações sobre se aplicativos de gerenciamento de senha específicos são direcionados. A criptomoeda roubada prova, no entanto, que os ataques foram bem-sucedidos, o que poderia levantar suspeitas sobre os gerenciadores de senhas em alguns usuários. Seria completamente injustificado.

Os gerenciadores de senhas são as melhores ferramentas para organizar e armazenar dados de login, e não deve haver dúvida sobre isso na cabeça de ninguém. Infelizmente, mesmo as defesas de um gerenciador de senhas podem ser enfraquecidas pela falta de higiene da segurança cibernética por parte do usuário. As pessoas precisam se lembrar de que sua senha mestra deve ser forte, longa e, crucialmente, exclusiva, e devem aproveitar os recursos de segurança adicionais, como autenticação de dois fatores, que alguns gerenciadores de senhas oferecem. Podemos não ter os detalhes técnicos sobre os ataques do CryptoCore, mas sabemos que todos dependem do usuário clicar em um link em um email também, o que mostra que é hora de todos começarem a tratar as mensagens em sua caixa de entrada com uma dose saudável de suspeita.

June 25, 2020

Deixe uma Resposta