Los cibercriminales llevan años siguiendo de cerca el avance de las criptomonedas e incluso utilizando este tipo de divisa. Pero en los últimos días han pasado de exigir el pago de sus víctimas a través de este método a atacar cuentas de empresas que, por la naturaleza de su trabajo, trabajan con criptomonedas, contratos inteligentes, DeFi, Blockchain y la industria FinTech.

Así lo afirman expertos de Kaspersky tras haber descubierto una serie de ataques del actor de amenazas persistentes avanzadas (APT) BlueNoroff contra pequeñas y medianas empresas de todo el mundo, que ha ocasionado importantes pérdidas de criptodivisas. La campaña, bautizada como SnatchCrypto, se sirve de los empleados de las empresas objetivo enviándoles un backdoor o puerta trasera de Windows con todas las funciones de vigilancia, bajo la apariencia de un contrato u otro archivo de negocio. Para lograr vaciar la criptocartera de las víctimas, los ciberdelincuentes han desarrollado un abanico de peligrosos recursos que incluyen complejas infraestructuras, exploits e implantes de malware.

BlueNoroff forma parte del grupo más amplio Lazarus

BlueNoroff forma parte del grupo más amplio Lazarus y utiliza su estructura diversificada y sus sofisticadas tecnologías de ataque. El grupo APT Lazarus es conocido por sus ataques a bancos y servidores conectados a SWIFT e, incluso, ha participado en la creación de empresas falsas para el desarrollo de software de criptomonedas. Los clientes estafados instalaban aplicaciones que parecían legítimas y, al cabo de un tiempo, recibían actualizaciones con efecto retardado. Ahora, esta “rama” de Lazarus ha pasado a atacar a las empresas de criptomonedas. Como la mayoría de estas son de tamaño pequeño o mediano, no tienen capacidad para invertir mucho dinero en sus sistemas de seguridad internos. BlueNoroff se aprovecha de este punto débil utilizando esquemas de ingeniería social muy elaborados.

Para ganarse la confianza de la víctima, BlueNoroff se hace pasar por una entidad de capital riesgo existente. Los investigadores de Kaspersky han descubierto más de 15 empresas de este tipo cuya marca y nombres de empleados se han utilizado durante la campaña SnatchCrypto. Los expertos de Kaspersky creen que las empresas reales no han tenido nada que ver con estos ataques ni con los correos electrónicos utilizados para llevarlos a cabo. Los ciberdelincuentes eligieron el ámbito de las start-up de criptomonedas por una razón: las empresas de nueva creación suelen recibir cartas o archivos de fuentes desconocidas. Por ejemplo, no es extraño que una compañía de capital riesgo pueda enviarles un contrato u otros archivos relacionados con el negocio. El actor de APT lo utiliza como cebo con el fin de que las víctimas abran el archivo adjunto al correo electrónico, un documento habilitado para macros.

Si el documento se abriera offline, el archivo no representaría nada peligroso, lo más probable es que pareciera una copia de algún contrato u otro tipo de documento inofensivo. Pero si el ordenador está conectado a Internet en el momento de abrir el archivo, otro documento habilitado para macros se descarga en el dispositivo de la víctima, desplegando el malware.

Este grupo APT tiene distintos métodos de infección dentro de su arsenal, que utiliza en función de la situación. Además de los documentos Word, también propaga malware disfrazado de archivos de acceso directo comprimidos de Windows. Este envía la información de la víctima y el agente Powershell, que crea una puerta trasera con todas las funciones. A partir de ahí, BlueNoroff despliega otras herramientas maliciosas para vigilar a la víctima: un keylogger y un capturador de pantalla. 

El siguiente paso de los atacantes es rastrear a las víctimas durante semanas y meses: recopilan sus pulsaciones en el teclado y vigilan sus operaciones diarias mientras planifican una estrategia de robo financiero. Tras encontrar un objetivo importante que utilice una extensión popular del navegador para gestionar las criptocarteras (por ejemplo, la extensión Metamask), sustituyen el componente principal de la extensión por una versión falsa.

Según los investigadores, los atacantes reciben una notificación al detectar grandes transferencias. Cuando el usuario comprometido intenta transferir fondos a otra cuenta, ellos interceptan la transacción e inyectan su propia lógica. Para completar el pago iniciado, el usuario hace clic en el botón “aceptar” y es en este momento cuando los cibercriminales cambian la dirección del destinatario y maximizan el importe de la transacción, vaciando la cuenta en un solo movimiento.

El grupo está actualmente activo y ataca a los usuarios sin importar de qué país sean

Para la proteger a las empresas, los expertos de Kaspersky recomiendan:

  • Ofrecer al personal una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.
  • Realizar una auditoría de ciberseguridad de las redes y remediar cualquier debilidad descubierta en el perímetro o dentro de la red.
  • La inyección de la extensión es difícil de encontrar manualmente, a menos que se esté muy familiarizado con el código base de Metamask. Sin embargo, una modificación de la extensión de Chrome deja rastro. Hay que cambiar el navegador al modo de desarrollador y la extensión de Metamask se instala desde un directorio local en lugar dela tienda online. Si el plugin proviene de la tienda, Chrome aplica la validación de la firma digital para el código y garantiza la integridad del mismo. Por lo tanto, ante la duda, hay que comprobar la extensión Metamask y la configuración de Chrome.
  • Instalar soluciones anti-APT y EDR, que permitan descubrir y detectar amenazas, evitando a tiempo los incidentes. Proporcione a su equipo SOC acceso a la última información sobre amenazas y actualícelo regularmente con formación profesional. 
  • Junto con la protección adecuada de los endpoints, los servicios dedicados pueden ayudar a combatir los ataques de perfil alto. 

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario