APT
Nuestros expertos han estado estudiando una campaña maliciosa dirigida a empresas que trabajan con criptomonedas, contratos inteligentes, finanzas descentralizadas y tecnología de cadena de bloques. Los atacantes están interesados en la industria fintech en general y su campaña, llamada SnatchCrypto, está relacionada con el grupo de APT BlueNoroff, una entidad conocida ya rastreada en el ataque del 2016 al banco central de Bangladés.
Objetivos de SnatchCrypto
Los autores de esta campaña tienen dos objetivos: recopilar información y robar criptomonedas. Principalmente están interesados en recopilar datos de cuentas de usuario, direcciones IP e información de sesiones; además, también roban archivos de configuración de programas que trabajan directamente con criptomonedas y que pueden contener credenciales y demás información sobre las cuentas. Los atacantes estudian minuciosamente a las víctimas potenciales, de hecho, a veces llegan a supervisar su actividad durante meses.
Uno de sus métodos implica manipular las extensiones de navegador populares para gestionar monederos de criptomoneda. Por ejemplo, pueden cambiar la fuente de una extensión en los ajustes del navegador para que se instale desde el almacenamiento local (es decir, una versión modificada) en lugar de la página web oficial de la tienda. También pueden utilizar la extensión modificada de MetaMask para Chrome para reemplazar la lógica de la transacción, lo que les permitiría robar fondos incluso de quienes utilizan dispositivos hardware para firmar las transferencias de criptomoneda.
Los métodos de invasión de BlueNoroff
Los atacantes estudian con detenimiento a sus víctimas y utilizan la información que obtienen para implementar ataques de ingeniería social. Como norma general, escriben correos electrónicos que parecen provenir de empresas de capital de riesgo reales, pero con un documento adjunto habilitado para macros. Una vez abierto, este documento descarga una puerta trasera. Para más información técnica sobre el ataque y sus métodos, puedes visitar este artículo de Securelist.
Cómo proteger a tu empresa contra ataques de SnatchCrypto
Una señal clara de actividad de SnatchCrypto es una extensión de MetaMask modificada. Para usarla, los atacantes tienen que poner el navegador en modo desarrollador e instalar la extensión de MetaMask desde un directorio local. Es muy fácil comprobarlo: si el modo del navegador se ha cambiado sin tu permiso y la extensión se carga desde un directorio local, lo más probable es que tu dispositivo esté comprometido.
Además, te recomendamos utilizar las siguientes medidas de protección habituales:
- Desarrolla periódicamente la sensibilización de tus empleados en materia de ciberseguridad.
- Actualiza de inmediato las aplicaciones críticas (incluido el sistema operativo y los paquetes de oficina).
- Equipa cada computadora que tenga acceso a Internet con una solución de seguridad de confianza.
- Utiliza una solución EDR (si es apropiada para tu infraestructura) que te permita detectar amenazas complejas y te ayude a responder a tiempo.
