CryptoCore hackare Mål Lösenordshanterare-konton

CryptoCore Targets Password Manager Accounts

Igår publicerade cybersecurity-företaget ClearSky en rapport om en hackinggrupp som heter CryptoCore. Även känd som Dangerous Password och Leery Turtle, är gänget påstås lokaliserat i Östeuropa, och dess åtgärder har följts av andra säkerhetsutrustningar också. ClearSkys experter anser emellertid att CryptoCores verksamhet är mycket större än ursprungligen uppskattat. De tror att besättningen sedan maj 2018 har lyckats få upp till 200 miljoner dollar i olagliga vinster. Gårsdagens rapport kastar lite ljus på hur det lyckades göra det.

Utforskningen

CryptoCores offren är nästan uteslutande cryptocurrency-utbyten och företag som arbetar med dem. Innan hackarna genomför själva attacken genomgår en lång åkallande process, som består av att identifiera de högt anställda som de kommer att rikta in sig, samla så mycket underrättelse om dem som möjligt och i vissa fall kompromissa med sina personliga e-postkonton.

Enligt ClearSky är attackerna på personliga e-postmeddelanden lättare att ta bort, men ännu viktigare är att de ger en utmärkt informationskälla och kan hjälpa hackare att kompromettera målets företags inkorg. Själva attackkedjan är en blandning av beprövade tekniker och nya, innovativa knep som, om ClearSky beräknar om 200 miljoner dollar i vinst, är helt klart fungerar ganska bra.

Socialteknik

Attackerna börjar med spearphishing-e-postmeddelanden som varierar i deras grad av sofistikering. I vissa fall är meddelandena ganska misstänkta och i andra fall utestänger den udda missplacerade komma, de är nästan perfekta både när det gäller grammatik och social teknik.

I de flesta attacker berättas cheferna för cryptocurrency-börsen att genom att klicka på en länk får de tillgång till ett viktigt arbetsrelaterat dokument. CryptoCore använder kraftigt domännamn som ser ut som populära onlineplattformar som Google Drive, och i några av attackerna använder hackarna HTML för att dölja de skadliga webbadresserna bakom legitima utseende länkar. Hackarna har också använt URL-förkortningstjänster inte bara för att de kunde hjälpa dem att undvika upptäckt utan också för att de ger dem en uppfattning om hur många offer som faller för systemet.

Mål som klickar ner laddar ner ett arkiv med två filer. Den första är en lösenordsskyddad PDF-, DOCX- eller XLSX-fil som förmodligen är det arbetsrelaterade dokumentet som nämns i e-postens kropp. Offret leds till att tro att lösenordet som låser upp det lagras i "password.txt" - den andra filen i arkivet.

De mer observanta mottagarna kan dock märka att filen password.txt faktiskt har en dubbel förlängning. Dess fulla namn är "password.txt.lnk," och det är där den faktiska attacken startar.

Attacken

LNK-filer är vanliga Windows-genvägar, och de har också använts av andra cyberkriminella gäng. CryptoCores LNK-fil länkar till en bit skadlig VBS-kod som ansluts till Command and Control-servern (C&C) och fortsätter till nästa steg i attacken. För att säkerställa att offret inte är klokare hämtar manuset och öppnar en TXT-fil som innehåller det som ser ut som det utlovade lösenordet.

I bakgrunden laddar den dock ner och lagrar nyttolasten i mappen% temp% och placerar en annan VBS-fil i startkatalogen för att säkerställa att skadlig programvara startar när datorn startar.

Kuppen

Som vi redan nämnde riktar sig CryptoCores attacker till viktiga anställda i cryptocurrency-utbyten, vilket innebär att regelbundna användare sannolikt inte kommer att påverkas av just denna kampanj. Detta betyder dock inte att människor inte borde vara uppmärksamma på det.

ClearSky's experter nämnde inte de specifika verktygen som användes i CryptoCores attacker, men de sa att cyberbrottslingarna följer offrens lösenordshanterare-konton. Där finner hackarna den information de behöver för att omdirigera miljoner värda digitala mynt från börsens aktiva plånböcker till adresser som kontrolleras av dem.

De faktiska mekanismerna för att bryta in förblir okända, och det finns ingen information om specifika lösenordshanteringsapplikationer är riktade. Den stulna cryptocurrency bevisar dock att attackerna har varit framgångsrika, vilket kan ge misstänksamhet mot lösenordshanterare hos vissa användare. Det vore helt oberättigat.

Lösenordshanterare är de bästa verktygen för att organisera och lagra inloggningsdata, och det borde inte finnas någon tvekan om detta i någons sinne. Tyvärr kan även ett lösenordshanterares försvar försvagas av dålig cybersäkerhetshygien från användarens sida. Människor måste komma ihåg att deras huvudlösenord måste vara starka, långa och avgörande unika och de måste dra nytta av ytterligare säkerhetsfunktioner som tvåfaktorautentisering som vissa lösenordshanterare erbjuder. Vi kanske inte har de tekniska detaljerna kring CryptoCores attacker, men vi vet att de alla är beroende av att användaren också klickar på en länk i ett e-postmeddelande, vilket visar att det är hög tid att alla börjar behandla meddelandena i sin inkorg med en sund dos av misstankar.

År Duran
June 25, 2020
News
Svenska
June 25, 2020
News

Populära inlägg

Microsoft varnar statligt stödda hotaktörer använder AI i...

4 days sedan

Trojan Al11 Detektering av skadlig programvara

11 months sedan

Pinaview är en fullfjädrad adware-app

10 months sedan

Popup-fönster "Din iCloud hackas" och "Din iPhone har blivit...

7 months sedan

Vad är Lucky Ransomware?

7 months sedan

"American Express - Uppdatera din kontoinformation"...

6 months sedan
Svenska
Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Hem

Produkter

Cyclonis Backup Cyclonis Password Manager Cyclonis World Time

Support

Hjälpfiler Vanliga frågor Downloads Inquiries & Support

Företag

Om oss Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Backup's Terms of Service Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Integritetspolicy Cookie Policy Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2024 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows är ett varumärke som tillhör Microsoft, registrerat i USA och andra länder.
Mac, iPhone, iPad och App Store är varumärken som tillhör Apple Inc., registrerade i USA och andra länder.
iOS är ett registrerat varumärke som tillhör Cisco Systems, Inc. och/eller dess dotterbolag i USA och vissa andra länder.
Android och Google Play är varumärken som tillhör Google LLC.