Kasperskys it-sikkerhedsefterforskere har afdækket en ny hackerkampagne, der især er målrettet opstartsvirksomheder, der arbejder med kryptovaluta.

Hackergruppen BlueNoroff har på subtil vis misbrugt Fintech-virksomheders ansatte og sendt dem en Windows-bagdør med fuld funktionalitet og overvågningsfunktioner under dække af at være en kontrakt eller anden forretningsfil. Med henblik på at tømme offerenes krypto-wallets har hackergruppen udviklet en kompleks infrastruktur, samt exploits og malware.

BlueNoroff er en del af den berygtede Lazarus-gruppe og benytter sig af gruppens diversificerede struktur og sofistikerede angrebsteknologier. Lazarus APT-gruppen er kendt for angreb på banker og SWIFT-servere, og de har endda oprettet falske virksomheder, der lader som om, de udvikler kryptovaluta-software. Via legitimt udseende apps fra disse falske virksomheder har hackergruppen kunnet åbne en bagdør ind til offerets virksomhed.

Nu angriber denne Lazarus-gren små- og mellemstore opstartsvirksomheder, der arbejder med kryptovaluta, via udspekulerede social engineering-teknikker. For at vinde ofrenes tillid har BlueNoroff misbrugt eksisterende venturekapitalvirksomheder, og Kasperskys it-sikkerhedsefterforskere har til dato afsløret over 15 venturekapitalvirksomheder, der har fået misbrugt sit firmanavn og medarbejdernes e-mails og navne i den igangværende SnatchCrypto-kampagne.

Kaspersky mener, at hackergruppen netop går efter opstartsvirksomheder fordi disse ofte modtager e-mails og filer fra ukendte kilder. For eksempel har hackergruppen sendt kontrakter og andre forretningsrelaterede filer fra en venturekapitalvirksomhed, hvis navn de har misbrugt. Gruppen bruger disse filer som lokkemad for at få ofrene til at åbne den vedhæftede fil i e-mailen, der viser sig at være et makroaktiveret dokument.

Hvis dokumentet bliver åbnet offline, vil filen ikke udgøre noget farligt - sandsynligvis vil den ligne en kopi af en kontrakt eller et andet harmløst dokument. Men hvis computeren er forbundet til internettet på det tidspunkt, hvor filen åbnes, hentes et andet makroaktiveret dokument til offerets enhed, og malwaren rulles ud.

Bruger mange forskellige metoder

Hackergruppen har mange infektionsmetoder i deres arsenal og sammensætter infektionskæden alt efter situation, viser Kasperskys undersøgelser. Ud over ondsindede Word-dokumenter, spreder hackergruppen også malware forklædt som zip’ede Windows-genvejsfiler, der åbner en bagdør, hvorefter hackerne via keylogger og screenshot-taker kan overvåge offeret. Over uger eller måneder indsamler hackerne tastetryk og overvåger brugerens daglige aktiviteter, mens de planlægger det økonomiske tyveri.

Når de finder et prominent mål, som bruger en populær browserudvidelse til at administrere kryptovalutaer (f.eks. Metamask-udvidelsen), erstatter de hovedkomponenten i udvidelsen med en falsk version.

Ifølge it-sikkerhedsefterforskerne slår hackerne til, når de notificeres om store overførsler. Når den kompromitterede bruger forsøger at overføre kryptovaluta til en anden konto, opsnapper hackergruppen transaktionsprocessen og injicerer deres egen logik. Når brugeren godkender transaktionen, ændrer de it-kriminelle modtagerens adresse, skruer transaktionsbeløbet op til det maksimale, og tømmer i realiteten kontoen i ét træk.

- Da hackere hele tiden finder på nye måder at snyde og misbruge på, bør selv små virksomheder uddanne deres medarbejdere i grundlæggende it-sikkerhedspraksis. Det er især vigtigt, hvis virksomheden arbejder med krypto-wallets. Der er ikke noget galt med at bruge kryptovaluta-tjenester og -udvidelser, men vær bevidst om, at det også er et attraktivt mål for både avancerede hackergrupper og andre it-kriminelle, siger Seongsu Park, der er senior it-sikkerhedsefterforsker i Kasperskys Global Research and Analysis Team (GReAT).

Hele rapporten om BlueNoroff kan læses på Securelist, hvor der også er en guide til at tjekke Metamask og browser-udvidelsen.