首頁安全黑客使用偽造的 MetaMask 擴展竊取加密貨幣

黑客使用偽造的 MetaMask 擴展竊取加密貨幣

根據她的報告 卡巴斯基,一個來自朝鮮的黑客組織,被稱為“藍色諾羅夫“ 看起來像 針對帶有惡意文檔和偽造 MetaMask 瀏覽器擴展的加密貨幣初創公司。

MetaMask加密貨幣

該組織的動機純粹是財務上的,但其複雜而復雜的方法此前曾導致研究人員得出結論,它是已知幫派的一個子組。 拉撒路 (與朝鮮政府有關)。

另見: 金卡戴珊和弗洛伊德梅威瑟被指控加密貨幣欺詐

BlueNoroff 黑客已經活躍了幾年,但我們對他們的結構和操作知之甚少。

卡巴斯基的一份報告試圖闡明他們在 2021 年 XNUMX 月的最近一次活動中收集的數據。

目標

據研究人員稱,發現的最新攻擊, 專注於加密貨幣初創公司 位於不同國家,如:美國、俄羅斯、中國、印度、德國、英國、波蘭、烏克蘭、捷克共和國、愛沙尼亞、阿聯酋、馬耳他、新加坡、越南和香港。

網絡犯罪分子正試圖 違反這些公司員工的通訊,跟踪他們的互動,以便他們可以執行 社會工程 攻擊。 因此,他們只會將其作為最後的手段。

在某些情況下,黑客侵犯了該帳戶 LinkedIn 一位員工並直接在平台上分享了一個下載宏文檔的鏈接。

為了跟踪他們的活動,黑客使用了來自第三方跟踪服務 (Sendgrid) 的圖標,以便在受害者打開發送的文檔時收到通知。

另見: 一夥勒索軟件被捕,襲擊了 50 多家公司

BlueNoroff 用來欺騙員工的公司名稱和標誌如下圖所示:

黑客
黑客使用偽造的 MetaMask 擴展竊取加密貨幣

正如卡巴斯基指出的那樣,這些公司可能沒有遭到破壞,Sendgrid 可能不知道(現已通知)黑客團隊正在濫用其服務。

感染系統的方式

第一個感染鏈使用 帶有 VBS 腳本的文檔,它利用了舊的遠程模板注入漏洞 (CVE-2017-0199)。

第二感染鍊是基於 發送檔案 包含一個快捷方式文件和一個 受密碼保護的文件 (Excel、Word 或 PDF)。 這 應該包含代碼的 LNK 文件 訪問打開文檔開始一系列 安裝第二階段有效負載的腳本.

在這兩種情況下,安裝一個 後門 在受感染的設備上。 後門有以下功能:            

  • 目錄/文件處理
  • 手續辦理
  • 註冊表處理
  • 執行命令
  • 配置更新
  • 從 Chrome、Putty 和 WinSCP 竊取保存的數據

假 MetaMask 擴展竊取 受害者的加密貨幣

BlueNoroff 黑客 竊取憑據 可用於的用戶 橫向移動和更深的網絡滲透, 同時也收集 與加密貨幣軟件相關的配置文件。

在某些情況下,攻擊者意識到他們發現了一個大目標,他們會密切監視用戶數週或數月。”,卡巴斯基的報告說。

他們收集擊鍵並監控用戶的日常操作,同時制定盜竊策略“。

另見: Apple:修復了關閉 iPhone 和 iPad 時的門鎖錯誤

黑客竊取加密貨幣資產的主要手段是 用偽造版本替換錢包管理瀏覽器擴展的基本元素.

藍色諾羅夫
黑客使用偽造的 MetaMask 擴展竊取加密貨幣

這些黑客使用了 Metamask 擴展的修改版本。

受害者只有在將瀏覽器更改為開發者模式並看到擴展程序的源顯示本地目錄而不是在線商店時才能檢測到擴展程序是假的。

使用偽造的 Metamask 擴展,允許 黑客 當目標使用硬件錢包時竊取加密貨幣。 犯罪分子正在等待交易和 通過更改收件人的地址來竊取金額。

因為在受害者意識到感染之前他們只有一次機會,所以黑客盡可能地改變交易金額, 一口氣耗盡資產.

更多細節可以在 卡巴斯基報告.

資料來源:Bleeping Computer

數字要塞https://www.secnews.gr
追求夢想與生活!
現貨圖片

實時新聞