روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ متخصصین ما در حال بررسی کمپین مخرب جدیدی هستند که هدفش سازمان‌هایی است که با رمزارزها، قراردادهای هوشمند، امور مالی غیرمتمرکز و فناوری بلاک‌چین سر و کار دارند. مهاجمین به طور کلی به فین‌تیک[1] (به معنای کاربرد نوآورانه فناوری در ارائه خدمات مالی) علاقمند شدند. نام این کمپین مخرب تازه‌کشف‌شده SnatchCrypto است و گفته می‌شود به گروه APT موسوم به BlueNoroff مربوط می‌شود؛ گروهی که سال 2016 به بانک مرکزی بنگلادش حمله کرد. در ادامه با ما همراه شوید تا این کمپین را بیشتر مورد بررسی قرار دهیم.

اهداف SnatchCrypto

مجرمان سایبری که دست‌های پشت پرده این کمپین هستند دو هدف دارند: یکی جمع‌آوری اطلاعات و دومی سرقت رمزارز. آن‌ها بیش از هر چیز به جمع‌آوری داده‌ها روی اکانت‌های کاربری علاقه دارند؛ همینطور آدرس‌های آی‌پی و اطلاعات سشن. مجرمین از برنامه‌هایی که مستقیماً با رمزارز سر و کار دارند و ممکن است حاوی اطلاعات محرمانه یا سایر داده‌ها در خصوص اکانت‌ها  باشند فایل‌های تنظیمات را سرقت می‌کنند. مهاجمین با دقت زیادی قربانیان احتمالی خود را آنالیز می‌کنند و برخی‌اوقات ماه‌ها برای اقدام خود وقت می‌گذارند. یکی از متودهای آن‌ها دستکاری افزونه‌های محبوب مرورگر برای مدیریت کریپتووالت‌ها (کیف‌پول‌های دیجیتال) است. برای مثال آن‌ها می‌توانند منبع یک افزونه را در تنظیمات مرورگر تغییر دهند تا به جای وب استور رسمی از ذخیره‌گاه لوکال نصب شود (منظور همان نسخه اصلاحی است). آن‌ها همچنین برای اینکه کروم جای منطق تراکنش را بگیرد از افزونه اصلاح‌شده‌ی Metamask نیز استفاده می‌کنند. همین به آن‌ها قدرت می‌دهد تا پول‌ها را سرقت کنند حتی از آن کسانی که از دستگاه‌های سخت‌افزاری برای امضای انتقال‌های رمزارز استفاده می‌کنند.

متودهای حمله‌ی BlueNoroff

مهاجمین با دقت زیادی قربانیان خود را زیر نظر می‌گیرند و اطلاعاتی را که ازشان بدست می‌آورند برای حملات مهندسی اجتماعی به کار می‌گیرند. معمولاً آن‌ها ایمیل‌هایی درست می‌کنند تا جوری به نظر برسد انگار از سوی شرکت‌های بزرگ هستند اما آن‌ها حاوی پیوست داکیومنتی هستند که ماکرو در آن فعالسازی شده است. وقتی این داکیومنت پیوست‌شده باز می‌شود در نهایت بک‌دری را دانلود خواهد کرد.

راهکارهای امنیتی

یکی از علایم واضح فعالیت SnatchCrypto افزونه‌ی اصلاح‌شده‌ی Metamask است. مهاجمین برای استفاده از آن‌ باید مرورگر را روی حالت توسعه‌دهنده بگذاریند و از یک دایرکوری لوکال افزونه متاماسک را نصب کنند. شما می‌توانید راحتی آن را چک کنید: اگر حالت مرورگر بدون اجازه سوئیچ شده باشد و افزونه هم از دایرکتوری لوکال لود شده باشد پس دستگاه شاید دستکاری شده است. افزون بر این، توصیه ما به شما این است که اقدامات امنیتی زیر را نیز لحاظ کنید:

• به طور دوره‌ای آگاهی امنیت سایبری کارمندان خود را بالا ببرید
• اپ‌های مهم را آپدیت کنید (از جمله سیستم‌عامل و بسته‌های آفیس)
• برای هر کامپیوتر متصل به اینترنتی یک راهکار امنیتی خوب و مطمئن انتخاب کنید
• از راهکار EDR (اگر مناسب زیرساختتان است) استفاده کنید؛ این راهکار به شما امکان شناسایی تهدیدهای پیچیده را می‌دهد و باعث واکنش‌های به موقع و به جا می‌شود.

[1] FINTECH

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.