يواصل خبراؤنا دراسة الحملة الخبيثة التي تستهدف الشركات التي تعمل بالعملات المشفرة والعقود الذكية والتمويل اللامركزي وتكنولوجيا سلسلة السجلات المغلقة. يهتم المهاجمون بالتكنولوجيا المالية بشكل عام، وترتبط الحملة المسماة SnatchCrypto بمجموعة BlueNoroff APT، وهي كيان معروف تم تعقب أثره بالفعل إلى هجوم 2016 على البنك المركزي البنجلاديشي.
أهداف SnatchCrypto
يريد مجرمو الإنترنت من وراء هذه الحملة تحقيق هدفين: جمع المعلومات وسرقة العملة المشفرة. وهم مهتمون بشكل أساسي بجمع البيانات عن حسابات المستخدمين وعناوين IP ومعلومات الجلسة، كما يسرقون ملفات التكوين من البرامج التي تعمل مباشرة مع العملة المشفرة والتي قد تحتوي على بيانات الاعتماد ومعلومات أخرى حول الحسابات. يدرس المهاجمون بعناية الضحايا المحتملين، ويراقبون أحيانًا نشاطهم لعدة أشهر.
تتضمن إحدى طرقهم التلاعب بامتدادات المتصفح الشائعة لإدارة محافظ العملات المشفرة. على سبيل المثال، يمكنهم تغيير مصدر الامتداد في إعدادات المتصفح بحيث يتم تثبيته من التخزين المحلي (أي نسخة معدلة) بدلاً من متجر الويب الرسمي. يمكنهم أيضًا استخدام امتداد Metamask المعدل لمتصفح Chrome لاستبدال نظام المعاملة، مما يمكنهم من سرقة الأموال حتى من أولئك الذين يستخدمون الأجهزة لتوقيع تحويلات العملات المشفرة.
أساليب BlueNoroff للاختراق
يدرس المهاجمون ضحاياهم بعناية ويستخدمون المعلومات التي يحصلون عليها لنشر هجمات هندسة اجتماعية. وعادةً ما يصنعون رسائل بريد إلكتروني تهدف إلى الظهور كما لو كانت من شركات مشاريع استثمارية موجودة، ولكن مع مستند مرفق ممكّن بوحدة ماكرو. يقوم هذا المستند عند فتحه في النهاية بتنزيل وسيلة تسلل. للحصول على معلومات تقنية مفصلة حول أساليب الهجوم والمهاجمين، راجع تقرير Securelist، “مواصلة BlueNoroff ملاحقة العملات المشفرة.”
كيف تحمي شركتك من هجمات SnatchCrypto
إحدى العلامات الواضحة على نشاط SnatchCrypto هي امتداد Metamask المعدل. ينبغي أن يضع المهاجمين المتصفح في وضع المطور وتثبيت امتداد Metamask من دليل محلي لاستخدامه. ويمكنك بسهولة التحقق من ذلك: إذا تم تبديل وضع المتصفح دون إذنك، وتم تحميل الامتداد من دليل محلي، فمن المحتمل أن جهازك قد تعرض للاختراق.
بالإضافة إلى ذلك، نوصي باستخدام تدابير الحماية القياسية التالية:
- رفع مستوى الوعي لدى الموظفين بشكل دوري عن الأمن الحاسوبي ؛
- تحديث التطبيقات الهامة (بما في ذلك أنظمة التشغيل ومجموعات المكاتب) على الفور؛
- تجهيز كل جهاز كمبيوتر به إمكانية الوصول إلى الإنترنت بإضافة حل أمني موثوق ؛
- استخدام Kaspersky Endpoint Detection and Response (إذا كان ذلك مناسبًا لبنيتك التحتية) مما يمكّنك من اكتشاف التهديدات المعقدة ومساعدتك على الاستجابة سريعًا.