{"id":23785,"date":"2022-01-20T10:35:50","date_gmt":"2022-01-20T16:35:50","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=23785"},"modified":"2022-01-20T10:35:50","modified_gmt":"2022-01-20T16:35:50","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/snatchcrypto-bluenoroff\/23785\/","title":{"rendered":"La b\u00fasqueda de criptomonedas de BlueNoroff"},"content":{"rendered":"

Nuestros expertos han estado estudiando una campa\u00f1a maliciosa dirigida a empresas que trabajan con criptomonedas, contratos inteligentes, finanzas descentralizadas y tecnolog\u00eda de cadena de bloques. Los atacantes est\u00e1n interesados en la industria fintech en general y su campa\u00f1a, llamada SnatchCrypto, est\u00e1 relacionada con el grupo de APT BlueNoroff, una entidad conocida ya rastreada en el ataque del 2016 al banco central de Banglad\u00e9s.<\/p>\n

Objetivos de SnatchCrypto<\/h2>\n

Los autores de esta campa\u00f1a tienen dos objetivos: recopilar informaci\u00f3n y robar criptomonedas. Principalmente est\u00e1n interesados en recopilar datos de cuentas de usuario, direcciones IP e informaci\u00f3n de sesiones; adem\u00e1s, tambi\u00e9n roban archivos de configuraci\u00f3n de programas que trabajan directamente con criptomonedas y que pueden contener credenciales y dem\u00e1s informaci\u00f3n sobre las cuentas. Los atacantes estudian minuciosamente a las v\u00edctimas potenciales, de hecho, a veces llegan a supervisar su actividad durante meses.<\/p>\n

Uno de sus m\u00e9todos implica manipular las extensiones de navegador populares para gestionar monederos de criptomoneda. Por ejemplo, pueden cambiar la fuente de una extensi\u00f3n en los ajustes del navegador para que se instale desde el almacenamiento local (es decir, una versi\u00f3n modificada) en lugar de la p\u00e1gina web oficial de la tienda. Tambi\u00e9n pueden utilizar la extensi\u00f3n modificada de MetaMask para Chrome para reemplazar la l\u00f3gica de la transacci\u00f3n, lo que les permitir\u00eda robar fondos incluso de quienes utilizan dispositivos hardware para firmar las transferencias de criptomoneda.<\/p>\n

Los m\u00e9todos de invasi\u00f3n de BlueNoroff<\/h2>\n

Los atacantes estudian con detenimiento a sus v\u00edctimas y utilizan la informaci\u00f3n que obtienen para implementar ataques de ingenier\u00eda social. Como norma general, escriben correos electr\u00f3nicos que parecen provenir de empresas de capital de riesgo reales, pero con un documento adjunto habilitado para macros. Una vez abierto, este documento descarga una puerta trasera. Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque y sus m\u00e9todos, puedes visitar este art\u00edculo de Securelist<\/a>.<\/p>\n

C\u00f3mo proteger a tu empresa contra ataques de SnatchCrypto<\/h2>\n

Una se\u00f1al clara de actividad de SnatchCrypto es una extensi\u00f3n de MetaMask modificada. Para usarla, los atacantes tienen que poner el navegador en modo desarrollador e instalar la extensi\u00f3n de MetaMask desde un directorio local. Es muy f\u00e1cil comprobarlo: si el modo del navegador se ha cambiado sin tu permiso y la extensi\u00f3n se carga desde un directorio local, lo m\u00e1s probable es que tu dispositivo est\u00e9 comprometido.<\/p>\n

Adem\u00e1s, te recomendamos utilizar las siguientes medidas de protecci\u00f3n habituales:<\/p>\n