CryptoCore hackare Mål Lösenordshanterare-konton

CryptoCore Targets Password Manager Accounts

Igår publicerade cybersecurity-företaget ClearSky en rapport om en hackinggrupp som heter CryptoCore. Även känd som Dangerous Password och Leery Turtle, är gänget påstås lokaliserat i Östeuropa, och dess åtgärder har följts av andra säkerhetsutrustningar också. ClearSkys experter anser emellertid att CryptoCores verksamhet är mycket större än ursprungligen uppskattat. De tror att besättningen sedan maj 2018 har lyckats få upp till 200 miljoner dollar i olagliga vinster. Gårsdagens rapport kastar lite ljus på hur det lyckades göra det.

Utforskningen

CryptoCores offren är nästan uteslutande cryptocurrency-utbyten och företag som arbetar med dem. Innan hackarna genomför själva attacken genomgår en lång åkallande process, som består av att identifiera de högt anställda som de kommer att rikta in sig, samla så mycket underrättelse om dem som möjligt och i vissa fall kompromissa med sina personliga e-postkonton.

Enligt ClearSky är attackerna på personliga e-postmeddelanden lättare att ta bort, men ännu viktigare är att de ger en utmärkt informationskälla och kan hjälpa hackare att kompromettera målets företags inkorg. Själva attackkedjan är en blandning av beprövade tekniker och nya, innovativa knep som, om ClearSky beräknar om 200 miljoner dollar i vinst, är helt klart fungerar ganska bra.

Socialteknik

Attackerna börjar med spearphishing-e-postmeddelanden som varierar i deras grad av sofistikering. I vissa fall är meddelandena ganska misstänkta och i andra fall utestänger den udda missplacerade komma, de är nästan perfekta både när det gäller grammatik och social teknik.

I de flesta attacker berättas cheferna för cryptocurrency-börsen att genom att klicka på en länk får de tillgång till ett viktigt arbetsrelaterat dokument. CryptoCore använder kraftigt domännamn som ser ut som populära onlineplattformar som Google Drive, och i några av attackerna använder hackarna HTML för att dölja de skadliga webbadresserna bakom legitima utseende länkar. Hackarna har också använt URL-förkortningstjänster inte bara för att de kunde hjälpa dem att undvika upptäckt utan också för att de ger dem en uppfattning om hur många offer som faller för systemet.

Mål som klickar ner laddar ner ett arkiv med två filer. Den första är en lösenordsskyddad PDF-, DOCX- eller XLSX-fil som förmodligen är det arbetsrelaterade dokumentet som nämns i e-postens kropp. Offret leds till att tro att lösenordet som låser upp det lagras i "password.txt" - den andra filen i arkivet.

De mer observanta mottagarna kan dock märka att filen password.txt faktiskt har en dubbel förlängning. Dess fulla namn är "password.txt.lnk," och det är där den faktiska attacken startar.

Attacken

LNK-filer är vanliga Windows-genvägar, och de har också använts av andra cyberkriminella gäng. CryptoCores LNK-fil länkar till en bit skadlig VBS-kod som ansluts till Command and Control-servern (C&C) och fortsätter till nästa steg i attacken. För att säkerställa att offret inte är klokare hämtar manuset och öppnar en TXT-fil som innehåller det som ser ut som det utlovade lösenordet.

I bakgrunden laddar den dock ner och lagrar nyttolasten i mappen% temp% och placerar en annan VBS-fil i startkatalogen för att säkerställa att skadlig programvara startar när datorn startar.

Kuppen

Som vi redan nämnde riktar sig CryptoCores attacker till viktiga anställda i cryptocurrency-utbyten, vilket innebär att regelbundna användare sannolikt inte kommer att påverkas av just denna kampanj. Detta betyder dock inte att människor inte borde vara uppmärksamma på det.

ClearSky's experter nämnde inte de specifika verktygen som användes i CryptoCores attacker, men de sa att cyberbrottslingarna följer offrens lösenordshanterare-konton. Där finner hackarna den information de behöver för att omdirigera miljoner värda digitala mynt från börsens aktiva plånböcker till adresser som kontrolleras av dem.

De faktiska mekanismerna för att bryta in förblir okända, och det finns ingen information om specifika lösenordshanteringsapplikationer är riktade. Den stulna cryptocurrency bevisar dock att attackerna har varit framgångsrika, vilket kan ge misstänksamhet mot lösenordshanterare hos vissa användare. Det vore helt oberättigat.

Lösenordshanterare är de bästa verktygen för att organisera och lagra inloggningsdata, och det borde inte finnas någon tvekan om detta i någons sinne. Tyvärr kan även ett lösenordshanterares försvar försvagas av dålig cybersäkerhetshygien från användarens sida. Människor måste komma ihåg att deras huvudlösenord måste vara starka, långa och avgörande unika och de måste dra nytta av ytterligare säkerhetsfunktioner som tvåfaktorautentisering som vissa lösenordshanterare erbjuder. Vi kanske inte har de tekniska detaljerna kring CryptoCores attacker, men vi vet att de alla är beroende av att användaren också klickar på en länk i ett e-postmeddelande, vilket visar att det är hög tid att alla börjar behandla meddelandena i sin inkorg med en sund dos av misstankar.

June 25, 2020

Lämna ett svar