{"id":18850,"date":"2022-01-26T09:16:09","date_gmt":"2022-01-26T12:16:09","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=18850"},"modified":"2022-01-26T09:16:09","modified_gmt":"2022-01-26T12:16:09","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/snatchcrypto-bluenoroff\/18850\/","title":{"rendered":"Busca por criptomoedas da BlueNoroff"},"content":{"rendered":"

Nossos especialistas t\u00eam estudado uma campanha maliciosa direcionada a empresas que trabalham com criptomoedas, contratos inteligentes, finan\u00e7as descentralizadas e tecnologia blockchain. Os respons\u00e1veis pelo ataque est\u00e3o interessados na ind\u00fastria fintech<\/em> em geral e, a campanha foi intitulada como SnatchCrypto, est\u00e1 ligada ao grupo APT BlueNoroff, uma entidade conhecida, j\u00e1 rastreada no ataque de 2016, ao banco central de Bangladesh.<\/p>\n

Os objetivos de SnatchCrypto<\/h2>\n

Os autores desta campanha t\u00eam dois objetivos: coletar informa\u00e7\u00f5es e roubar criptomoedas. Eles est\u00e3o interessados principalmente em capturar dados de contas de usu\u00e1rio, endere\u00e7os IP e informa\u00e7\u00f5es de sess\u00e3o. Al\u00e9m disso, eles tamb\u00e9m roubam arquivos de configura\u00e7\u00e3o de programas que trabalham diretamente com criptomoedas e que podem conter credenciais e outros dados sens\u00edveis. Os cibercriminosos estudam cuidadosamente as v\u00edtimas em potencial, na verdade, \u00e0s vezes monitoram suas atividades por meses.<\/p>\n

Um de seus m\u00e9todos envolve manipular extens\u00f5es populares de navegador para gerenciar carteiras de criptomoedas. Por exemplo, eles podem alterar a fonte de uma extens\u00e3o nas configura\u00e7\u00f5es do navegador para que ela seja instalada a partir do armazenamento local (ou seja, uma vers\u00e3o hackeada) em vez do site oficial da loja.<\/p>\n

Os m\u00e9todos de invas\u00e3o de BlueNoroff<\/h2>\n

Os golpistas estudam cuidadosamente suas v\u00edtimas e usam as informa\u00e7\u00f5es que conseguem para implementar ataques de engenharia social. Como regra geral, eles escrevem e-mails<\/em> que parecem vir de empresas de capital de risco reais, mas com um anexo macro-habilitado. Uma vez aberto, este documento baixa um backdoor. Para obter informa\u00e7\u00f5es mais t\u00e9cnicas sobre o ataque e seus m\u00e9todos, voc\u00ea pode saber mais neste artigo do Securelist. <\/a><\/p>\n

Como proteger seu neg\u00f3cio contra ataques do SnatchCrypto<\/h2>\n

Um sinal claro da atividade SnatchCrypto \u00e9 uma extens\u00e3o MetaMask modificada. Para us\u00e1-lo, os cibercriminosos t\u00eam que colocar o navegador no modo desenvolvedor e instalar a extens\u00e3o MetaMask de um diret\u00f3rio local. \u00c9 muito f\u00e1cil verificar: se o modo do navegador foi alterado sem a sua permiss\u00e3o e a extens\u00e3o \u00e9 carregada de um diret\u00f3rio local, \u00e9 prov\u00e1vel que seu dispositivo esteja comprometido.<\/p>\n

Al\u00e9m disso, recomendamos que voc\u00ea adote as seguintes medidas de prote\u00e7\u00e3o:<\/p>\n