首页保安黑客使用伪造的 MetaMask 扩展窃取加密货币

黑客使用伪造的 MetaMask 扩展窃取加密货币

根据她的报告 卡巴斯基,一个来自朝鲜的黑客组织,被称为“BlueNoroff“ 看起来像 针对带有恶意文档和伪造 MetaMask 浏览器扩展的加密货币初创公司。

MetaMask加密货币

该组织的动机纯粹是财务上的,但其复杂而复杂的方法此前曾导致研究人员得出结论,它是已知帮派的一个子组。 拉撒路 (与朝鲜政府有关)。

另见: 金卡戴珊和弗洛伊德梅威瑟被指控加密货币欺诈

BlueNoroff 黑客已经活跃了几年,但我们对他们的结构和操作知之甚少。

卡巴斯基的一份报告试图阐明他们在 2021 年 XNUMX 月的最近一次活动中收集的数据。

目标

据研究人员称,发现的最新攻击, 专注于加密货币初创公司 位于不同国家,如:美国、俄罗斯、中国、印度、德国、英国、波兰、乌克兰、捷克共和国、爱沙尼亚、阿联酋、马耳他、新加坡、越南和香港。

网络犯罪分子正试图 违反这些公司员工的通讯,跟踪他们的互动,以便他们可以执行 社会工程学 攻击。 因此,他们只会将其作为最后的手段。

在某些情况下,黑客侵犯了该帐户 LinkedIn 一位员工并直接在平台上分享了一个下载宏文档的链接。

为了跟踪他们的活动,黑客使用了来自第三方跟踪服务 (Sendgrid) 的图标,以便在受害者打开发送的文档时收到通知。

另见: 一伙勒索软件被捕,袭击了 50 多家公司

BlueNoroff 用来欺骗员工的公司名称和标识如下所示:

黑客
黑客使用伪造的 MetaMask 扩展窃取加密货币

正如卡巴斯基指出的那样,这些公司可能没有遭到破坏,Sendgrid 可能不知道(现已通知)黑客团队正在滥用其服务。

感染系统的方式

第一个感染链使用 带有 VBS 脚本的文档,它利用了旧的远程模板注入漏洞 (CVE-2017-0199)。

第二感染链是基于 发送档案 包含一个快捷方式文件和一个 受密码保护的文件 (Excel、Word 或 PDF)。 这 应该包含代码的 LNK 文件 访问打开文档开始一系列 安装第二阶段有效负载的脚本.

在这两种情况下,安装一个 后门 在受感染的设备上。 后门有以下功能:            

  • 目录/文件处理
  • 手续办理
  • 注册表处理
  • 执行命令
  • 配置更新
  • 从 Chrome、Putty 和 WinSCP 窃取保存的数据

假 MetaMask 扩展窃取 受害者的加密货币

BlueNoroff 黑客 窃取凭据 可用于的用户 横向移动和更深的网络渗透, 同时也收集 与加密货币软件相关的配置文件。

在某些情况下,攻击者意识到他们发现了一个大目标,他们会密切监视用户数周或数月。”,卡巴斯基的报告说。

他们收集击键并监控用户的日常操作,同时制定盗窃策略“。

另见: Apple:修复了关闭 iPhone 和 iPad 时的门锁错误

黑客窃取加密货币资产的主要手段是 用伪造版本替换钱包管理浏览器扩展的基本元素.

BlueNoroff
黑客使用伪造的 MetaMask 扩展窃取加密货币

这些黑客使用了 Metamask 扩展的修改版本。

受害者只有在将浏览器更改为开发者模式并看到扩展程序的源显示本地目录而不是在线商店时才能检测到扩展程序是假的。

使用伪造的 Metamask 扩展,允许 黑客 当目标使用硬件钱包时窃取加密货币。 犯罪分子正在等待交易和 通过更改收件人的地址来窃取金额。

因为在受害者意识到感染之前他们只有一次机会,所以黑客尽可能地改变交易金额, 一口气耗尽资产.

更多细节可以在 卡巴斯基报告.

资料来源:Bleeping Computer

数字要塞https://www.secnews.gr
追求梦想与生活!
现货图片

实时新闻