Un groupe de hackers vole les crypto-monnaies de start-up et petites entreprises

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, chargé de l'actu.
Publié le 14 janvier 2022 à 08h45
© Alpha Footage / Shutterstock
© Alpha Footage / Shutterstock

Le groupe cybercriminel BlueNoroff, identifié par Kaspersky, s'est spécialisé dans le vol de crypto-monnaies auprès de petites sociétés en se faisant passer pour une société de capital-risque existante.

Les chercheurs de Kaspersky, qui nous dévoilent l'information, ont été alertés par une série d'attaques menées par un groupe APT (menaces persistantes avancées) connu sous le nom de BlueNoroff. Ce dernier a lancé de multiples attaques informatiques contre de petites et moyennes entreprises du monde entier. Il vise plus particulièrement des start-up de crypto-monnaies et se joue d'elles par le biais de schémas d'ingénierie sociale. Entrons dans les détails.

Un groupe spécialisé dans la création de sociétés de logiciels crypto, à l'apparence légitime

Le groupe BlueNoroff a récemment lancé une campagne, baptisée SnatchCrypto. Celle-ci cible donc de petites entreprises qui gèrent des crypto-monnaies et des contrats intelligents, en œuvrant dans la blockchain, l'industrie FinTech et la DeFi, ce système financier alternatif fondé sur la techno de la chaîne de blocs. Sur cette campagne, les attaquants ont abusé de la confiance des employés de ces diverses entreprises. Pour cela, ils leur ont envoyé une porte dérobée Windows complète avec des fonctions de surveillance, sous la forme d'un fichier commercial classique, comme un contrat, par exemple.

Pour vider les portefeuilles de crypto-monnaies des sociétés ciblées, BlueNoroff, qui fait partie du groupe Lazarus connu pour ses attaques sophistiquées notamment envers des banques, s'est appuyé sur des ressources à la fois percutantes et dangereuses, comme des implants de logiciels malveillants, des infrastructures complexes ou d'autres exploits. Notons que les « exploits », ici, sont des attaques qui tirent profit des failles d'applications ou autres outils. Ils prennent la forme d'un logiciel ou d'un code, ce qui leur permet de prendre le contrôle d'un appareil et d'en dérober les données.

Le groupe BlueNoroff jouit d'une réelle expertise en la matière et est capable de créer de fausses sociétés pour le développement de logiciels de monnaies virtuelles. Ainsi, les clients tombant dans le piège du groupe cybercriminel pensent en réalité utiliser des applications légitimes. Ce n'est qu'au bout d'un certain temps qu'elles reçoivent des mises à jour contenant des backdoors.

Profiter de la fougue et de l'ambition des jeunes entreprises pour s'adonner à de la surveillance, puis au vol

Alors comment BlueNoroff, qui, rappelons-le, s'est spécialisé dans l'attaque de start-up de crypto-monnaies qui ont tendance à moins investir dans leur système de sécurité interne, parvient-il à gagner la confiance de ses victimes ? De manière générale, c'est par le biais de l'ingénierie sociale qu'il y parvient. D'abord, il se fait passer pour une société de capital-risque existante (une société habituée à aider des jeunes pousses). Kaspersky a en effet découvert que l'identité d'une quinzaine d'entreprises de capital-risque a été utilisée illégalement durant la seule campagne SnatchCrypto.

Les jeunes entreprises sont souvent très curieuses et désireuses de séduire ces sociétés d'investissement, alors le moindre e-mail ou fichier en pièce jointe qu'elles peuvent recevoir d'une de ces sociétés les pousse à l'ouvrir. Voyons cela comme un appât de luxe, aux yeux des hackers. Et la pièce jointe d'un e-mail contient évidemment des macros. Si l'ordinateur qui ouvre le fichier est connecté à Internet, alors s'ouvre le chemin qui permet, au moment de l'ouverture du fichier, d'activer un document, via une macro, que la machine de la victime va hélas récupérer. Cela entraîne alors le déploiement du logiciel malveillant.

Un utilisateur attentif peut se rendre compte que quelque chose de louche se passe alors que Microsoft Word affiche une fenêtre pop-up de chargement standard © Kaspersky
Un utilisateur attentif peut se rendre compte que quelque chose de louche se passe alors que Microsoft Word affiche une fenêtre pop-up de chargement standard © Kaspersky

La contamination peut aussi bien se faire à l'aide de documents Word piégés qu'avec des malwares déguisés en raccourcis Windows zippés. Grâce à la porte dérobée créée, BlueNoroff déploie d'autres outils malveillants qui vont aider à surveiller la victime, comme un logiciel de capture d'écran ou un enregistreur de frappe. Et l'attaque se prolonge ensuite durant des semaines, voire des mois. Toutes les frappes au clavier sont enregistrées, de même que les opérations quotidiennes de l'utilisateur piégé, ce qui aide les pirates à planifier toute une stratégie de vol financier.

Le groupe est actuellement actif et attaque les utilisateurs, quel que soit leur pays d'origine © Kaspersky

La dernière étape consiste à remplacer le composant principal de l'extension de navigateur utilisé par l'entreprise pour gérer les portefeuilles de crypto-monnaies par une fausse version, de l'extension Metamask notamment. Les cybercriminels reçoivent une notification lorsqu'ils découvrent que leur cible opère des transferts importants. Et dans ce cas-là, ils interceptent le processus de transaction, puis injectent leur propre logiciel. Et le paiement dans tout ça ? Pour arriver au bout de la chaîne, l'utilisateur clique sur le bouton « approuver ». C'est à ce moment-là que les hackers changent l'adresse du destinataire et modifient le montant de la transaction (à la hausse, vous l'aurez deviné), pour vider purement et simplement le compte de l'entreprise piégée.

Par Alexandre Boero
Journaliste-reporter, chargé de l'actu

Journaliste, chargé de l'actualité de Clubic. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

A découvrir en vidéo

Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
jcc137

Cet article est une preuve de plus que la cryptomonnaie n’est pas fiable, sans compter le minage que ça demande pas bon pour la planète.

Merci aux spécialistes de ne pas m’insulter.

benben99

Débarrassons nous des cryptos et on va se débarrasser aussi d’un paquet de problèmes!

Non seulement, il y a des millions de personnes qui se font détrousser par des hackers , mais c’est très populaires dans les milieux criminels.

Sans_Plot

C’est vrai, comme la monnaie physique :o
Arretons tout !

Vanilla

Moi je propose d’utiliser l’air comme monnaie d’échange, c’est accessible partout sur la planète, et chacun peut miner l’air avec des bocaux en verre recyclable et un couvercle,

sirifa

La preuve que l’argent liquide n’est pas fiable : il y a des vols !
La preuve que l’argent électronique (€) n’est pas fiable : il y a des vols !

Rien n’est fiable à 100% …

norwy

La crypto-criminalité continue sous les applaudissements des crypto-fans dont le bruit couvre les pleurs des crypto-pigeons.

C’est pathétique…

nickOh

Les « Jetons Crypto », car ce n’est une monnaie que si considérée comme tel par la majorité, techniquement ce sont des jetons, et ce l’attrait qui génère ces vols sont la facilité d’échange et de « vol », le coté anonyme et l’impossibilité de retour en arrière, + quasi impossiblité d’avoir des poursuites.

Rien a voir avec des monnaies reconnus, cotés par des organismes et avec des réserves de change.

Pour l’instant les milliers de crypto sont juste des valeurs boursière, gérées par l’appat du gain, il y aura des grosses pertes pour certains et des gros gains pour d’autres, et des vols par ruse pour les derniers.

Rien de nouveau, la délinquance informatique rapporte bien plus que la traditionnelle et sans les risques

thibotus01

On m’a volé mon cash dans la rue, le cash n’est pas fiable !
Exactement ce que vous venez de dire.

jcc137

On m’a volé de l’argent sur Internet, la banque m’a remboursé.

Martin_Penwald

D’un autre côté, dans le cas de fraudes bancaires, il y a le plus souvent des mécanismes et assurances qui marchent en faveur des victimes. Là, ben …