Kaspersky Lab uzmanları, ana hedefi kripto para birimi, DeFi hizmetleri (merkezi olmayan finans), blok zinciri ve fintech endüstrisi konusunda uzmanlaşmış küçük kuruluşlar olan BlueNoroff siber grubunun dünya çapındaki bir dizi saldırısını ortaya çıkardı.
Saldırıya SnatchCrypto adı verildi. Saldırganlar, mağdur kuruluşların çalışanlarına bir sözleşme veya başka bir belge kisvesi altında tamamen işlevsel bir Windows arka kapısı göndererek insan faktörüne güvenir. Saldırganlar, kripto para birimlerini çalmak için, açıklardan yararlanma ve kötü niyetli implantlar dahil olmak üzere karmaşık bir altyapı geliştirdiler.
BlueNoroff, yapısını ve teknolojilerini kullanan daha büyük bir grup olan Lazarus’un bir parçasıdır. Şimdilik BlueNoroff, çoğu güvenliğe büyük yatırım yapmaya gücü yetmeyen kripto para girişimlerine saldırmaya odaklandı. Aynı zamanda BlueNoroff grubu aktiftir ve Rusya, Ukrayna, ABD, Çin ve Hindistan dahil olmak üzere farklı ülkelerdeki kullanıcılara saldırır.
BlueNoroff, kurbanı makro-etkin bir belge olan e-posta ekini açması için kandırmak için mevcut risk sermayesi şirketlerinden geldiği iddia edilen e-postaları yem olarak gönderiyor. Kaspersky Lab araştırmacıları, SnatchCrypto kampanyasının 15’ten fazla risk sermayesi kuruluşunun ticari markalarını ve çalışanlarının adlarını kötüye kullandığını tespit etti.
Uzmanlara göre, saldırganlar büyük transferler hakkında bir bildirim alıyor. Bir kullanıcı başka bir hesaba para aktarmaya çalıştığında, işlem sürecini durdurur ve değiştirir. Başlatılan işlemi tamamlamak için kullanıcı “Onayla”ya tıklar. Bu noktada saldırganlar alıcının adresini değiştirir ve transfer miktarını maksimuma çıkararak hesabı tek hamlede etkin bir şekilde boşaltır.