Le groupe cybercriminel BlueNoroff, identifié par Kaspersky, s'est spécialisé dans le vol de crypto-monnaies auprès de petites sociétés en se faisant passer pour une société de capital-risque existante.
Les chercheurs de Kaspersky, qui nous dévoilent l'information, ont été alertés par une série d'attaques menées par un groupe APT (menaces persistantes avancées) connu sous le nom de BlueNoroff. Ce dernier a lancé de multiples attaques informatiques contre de petites et moyennes entreprises du monde entier. Il vise plus particulièrement des start-up de crypto-monnaies et se joue d'elles par le biais de schémas d'ingénierie sociale. Entrons dans les détails.
Un groupe spécialisé dans la création de sociétés de logiciels crypto, à l'apparence légitime
Le groupe BlueNoroff a récemment lancé une campagne, baptisée SnatchCrypto. Celle-ci cible donc de petites entreprises qui gèrent des crypto-monnaies et des contrats intelligents, en œuvrant dans la blockchain, l'industrie FinTech et la DeFi, ce système financier alternatif fondé sur la techno de la chaîne de blocs. Sur cette campagne, les attaquants ont abusé de la confiance des employés de ces diverses entreprises. Pour cela, ils leur ont envoyé une porte dérobée Windows complète avec des fonctions de surveillance, sous la forme d'un fichier commercial classique, comme un contrat, par exemple.
Pour vider les portefeuilles de crypto-monnaies des sociétés ciblées, BlueNoroff, qui fait partie du groupe Lazarus connu pour ses attaques sophistiquées notamment envers des banques, s'est appuyé sur des ressources à la fois percutantes et dangereuses, comme des implants de logiciels malveillants, des infrastructures complexes ou d'autres exploits. Notons que les « exploits », ici, sont des attaques qui tirent profit des failles d'applications ou autres outils. Ils prennent la forme d'un logiciel ou d'un code, ce qui leur permet de prendre le contrôle d'un appareil et d'en dérober les données.
Le groupe BlueNoroff jouit d'une réelle expertise en la matière et est capable de créer de fausses sociétés pour le développement de logiciels de monnaies virtuelles. Ainsi, les clients tombant dans le piège du groupe cybercriminel pensent en réalité utiliser des applications légitimes. Ce n'est qu'au bout d'un certain temps qu'elles reçoivent des mises à jour contenant des backdoors.
Profiter de la fougue et de l'ambition des jeunes entreprises pour s'adonner à de la surveillance, puis au vol
Alors comment BlueNoroff, qui, rappelons-le, s'est spécialisé dans l'attaque de start-up de crypto-monnaies qui ont tendance à moins investir dans leur système de sécurité interne, parvient-il à gagner la confiance de ses victimes ? De manière générale, c'est par le biais de l'ingénierie sociale qu'il y parvient. D'abord, il se fait passer pour une société de capital-risque existante (une société habituée à aider des jeunes pousses). Kaspersky a en effet découvert que l'identité d'une quinzaine d'entreprises de capital-risque a été utilisée illégalement durant la seule campagne SnatchCrypto.
Les jeunes entreprises sont souvent très curieuses et désireuses de séduire ces sociétés d'investissement, alors le moindre e-mail ou fichier en pièce jointe qu'elles peuvent recevoir d'une de ces sociétés les pousse à l'ouvrir. Voyons cela comme un appât de luxe, aux yeux des hackers. Et la pièce jointe d'un e-mail contient évidemment des macros. Si l'ordinateur qui ouvre le fichier est connecté à Internet, alors s'ouvre le chemin qui permet, au moment de l'ouverture du fichier, d'activer un document, via une macro, que la machine de la victime va hélas récupérer. Cela entraîne alors le déploiement du logiciel malveillant.
La contamination peut aussi bien se faire à l'aide de documents Word piégés qu'avec des malwares déguisés en raccourcis Windows zippés. Grâce à la porte dérobée créée, BlueNoroff déploie d'autres outils malveillants qui vont aider à surveiller la victime, comme un logiciel de capture d'écran ou un enregistreur de frappe. Et l'attaque se prolonge ensuite durant des semaines, voire des mois. Toutes les frappes au clavier sont enregistrées, de même que les opérations quotidiennes de l'utilisateur piégé, ce qui aide les pirates à planifier toute une stratégie de vol financier.
La dernière étape consiste à remplacer le composant principal de l'extension de navigateur utilisé par l'entreprise pour gérer les portefeuilles de crypto-monnaies par une fausse version, de l'extension Metamask notamment. Les cybercriminels reçoivent une notification lorsqu'ils découvrent que leur cible opère des transferts importants. Et dans ce cas-là, ils interceptent le processus de transaction, puis injectent leur propre logiciel. Et le paiement dans tout ça ? Pour arriver au bout de la chaîne, l'utilisateur clique sur le bouton « approuver ». C'est à ce moment-là que les hackers changent l'adresse du destinataire et modifient le montant de la transaction (à la hausse, vous l'aurez deviné), pour vider purement et simplement le compte de l'entreprise piégée.
