News

BlueNoroff, cos’è e come funziona

BlueNoroff fa parte del più noto gruppo APT Lazarus famoso per attacchi a banche e server collegati a SWIFT, e per la creazione di finte società che avevano lo scopo di sviluppare software di criptovaluta

Pubblicato il 21 Gen 2022

BlueNoroff

BlueNoroff, secondo quanto reso noto da Kaspersky, consiste in una serie di attacchi del gruppo APT (Advanced Persistent Threat rivolti ad aziende di piccole e medie dimensioni in tutto il mondo, che avevano lo scopo di rubare criptovaluta.

Nell’ultima campagna di BlueNoroff, gli attaccanti hanno sfruttato la fiducia dei dipendenti delle aziende prese di mira, inviando loro una backdoor Windows completa di funzioni di sorveglianza sotto le spoglie di un finto “contratto” o di un documento aziendale simile.

Per riuscire a svuotare il wallet di criptovalute della vittima, l’attaccante ha sviluppato risorse molto articolate e pericolose come infrastrutture complesse, exploit e impianti malware.

BlueNoroff fa parte del più noto gruppo Lazarus e ne utilizza la struttura diversificata e le sofisticate tecnologie di attacco. Il gruppo APT Lazarus è noto per attacchi a banche e server collegati a SWIFT, e per la creazione di finte società che avevano lo scopo di sviluppare software di criptovaluta. In questo modo, gli utenti ingannati installavano app dall’aspetto legittimo, ma in realtà ricevevano backdoor camuffare da aggiornamenti.

Ora questo “ramo” di Lazarus è passato ad attaccare le startup di criptovaluta, la maggior parte delle quali è composta da piccole o medie imprese che non hanno la possibilità di investire molto nel loro sistema di sicurezza interno. Situazione, questa, sfruttata dai threat actor APT che cercano, infatti, di trarne vantaggio utilizzando elaborati schemi di ingegneria sociale.

Per guadagnare la fiducia della vittima, BlueNoroff finge di essere una società di venture capital realmente esistente. I ricercatori di Kaspersky hanno scoperto oltre 15 venture il cui marchio e i nomi dei dipendenti sono stati sfruttati per la campagna SnatchCrypto. Gli esperti di Kaspersky ritengono, inoltre, che le aziende legittime non abbiano nulla a che fare con questo attacco o con le email inviate. Il settore delle startup di criptovaluta è stato scelto dai criminali informatici per un motivo ben preciso: queste aziende ricevono spesso mail o file da fonti sconosciute. Ad esempio, una società di venture capital è solita inviare contratti o altri file relativi al business e i gruppi APT sfruttano queste attività come esca per convincere le vittime ad aprire i file allegati, ovvero, documenti in grado di caricare da siti esterni, “template” dannosi.

Se il documento venisse aperto offline non rappresenterebbe un pericolo, molto probabilmente sembrerebbe una copia di qualche tipo di contratto o un altro documento innocuo. Ma se al momento dell’apertura del file, il computer fosse connesso a Internet, verrebbe scaricato sul dispositivo della vittima un altro documento abilitato alle macro e distribuito il malware.

Questo gruppo APT possiede varie tattiche di infezione nel suo arsenale, e crea la catena di infezione a seconda della situazione. Oltre ai documenti Word infetti, l’attore diffonde anche malware camuffati da file di collegamento Windows compressi. Così facendo invia le informazioni della vittima e l’agente Powershell, che successivamente crea una backdoor completa. In questo modo BlueNoroff distribuisce altri strumenti dannosi per monitorare la vittima: un keylogger e uno screenshot taker.

Successivamente, gli attaccanti tracciano le vittime per settimane e mesi, registrando tutte le sequenze dei tasti e monitorando le operazioni quotidiane dell’utente allo scopo di pianificare una strategia per il furto. Nel momento in cui trovano un obiettivo importante che utilizza una popolare estensione del browser (ad esempio Metamask) per gestire i wallet di criptovaluta, i criminali sostituiscono il componente principale dell’estensione con una versione falsa.

Secondo i ricercatori, gli attaccanti ricevono una notifica nel momento in cui vengono effettuati grandi trasferimenti di denaro. Quando la vittima tenta di trasferire alcuni fondi su un altro conto, gli attaccanti intercettano il processo di transazione e mettono in esecuzione del codice malevolo. Quando per completare il pagamento l’utente clicca sul pulsante “approva” i criminali informatici cambiano l’indirizzo del destinatario e massimizzano l’importo della transazione, sostanzialmente prosciugando tutti i fondi del conto in un colpo solo.

“Poiché i criminali informatici sviluppano continuamente nuovi metodi per i loro attacchi, anche le piccole imprese dovrebbero formare i propri dipendenti sulla sicurezza informatica di base. È importante farlo soprattutto se l’azienda lavora con portafogli di criptovaluta: non c’è niente di sbagliato nell’usare servizi ed estensioni di questo genere, ma bisogna tenere in conto che costituiscono un’esca per le APT e i criminali informatici. Pertanto, questo settore deve essere ben protetto” ha commentato Seongsu Park, senior security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4