- Door de staat gesponsorde aanvallers voerden overtuigende nep-videogesprekken uit om cryptocurrency-bedrijven aan te vallen
- Een truc voor het kapen van het klembord verving goedaardige opdrachten door code die malware implementeerde
- De operatie maakte snelle diefstal van inloggegevens, doorzettingsvermogen en volledige systeemcompromis mogelijk
Beveiligingsonderzoekers Arctic Wolf hebben details onthuld van een zeer geavanceerde campagne gericht op Noord-Amerikaanse Web3- en cryptocurrency-bedrijven.
Het wordt uitgevoerd door door de staat gesponsorde dreigingsactoren genaamd BlueNoroff, een financieel gemotiveerde subgroep van de gevreesde Noord-Koreaanse Lazarus Group, met als doel permanente toegang tot de apparaten van hun doelwit te bewerkstelligen.
Ze doen dit door het slachtoffer te misleiden om malware op de computers zelf te installeren, maar de manier waarop ze dat doen is behoorlijk geavanceerd.
Artikel gaat hieronder verder
ClicFix is in de chat gekomen
Terwijl ze zich op de aanval voorbereidden, gebruikten de bedreigingsactoren echte, waardevolle mensen uit de Web3-wereld, maakten ze overtuigende portretten met ChatGPT en maakten ze semi-geanimeerde video’s met Adobe Premiere Pro 2021.
Vervolgens zouden ze een nep-Zoom-videogesprek-website maken die identiek is aan de daadwerkelijke Zoom-oproeppagina, en de video weergeven om deze er nog overtuigender uit te laten zien.
BlueNoroff zou vervolgens het daadwerkelijke slachtoffer via Calendly uitnodigen, bijna een half jaar in de toekomst (hoogstwaarschijnlijk om het overtuigender te laten lijken – belangrijke mensen hebben het tenslotte super druk).
Wanneer het slachtoffer op de Zoom-link klikt, zien ze wat ze gewend zijn te zien: een videogesprekpagina waarbij de persoon aan de andere kant beweegt en doet alsof hij echt is. Acht seconden na het gesprek verscheen er echter een bericht op het scherm waarin stond dat hun “SDK is verouderd” en werd hen een knop “Nu bijwerken” gepresenteerd.
De knop leidt naar een typische ClickFix-techniek: om het probleem te ‘oplossen’ moet het slachtoffer een opdracht kopiëren en plakken. Maar omdat velen zich nu bewust zijn van deze aanvallen, gaat BlueNoroff nog een stap verder: de code die wordt gekopieerd is feitelijk legitiem en goedaardig.
De nep-Zoom-website heeft echter een kwaadaardige JavaScript-applicatie ingebouwd die de kopieeractie afhandelt, de klembordgebeurtenis in de browser onderschept en vervangt wat de gebruiker denkt te hebben gekopieerd met andere code.
Als deze code wordt uitgevoerd, wordt malware op het apparaat geïnstalleerd die externe toegang tot het systeem tot stand brengt, waardoor BlueNoroff inloggegevens, sessietokens en andere gevoelige bedrijfsgegevens kan exfiltreren, en deze de mogelijkheid biedt zich lateraal door het netwerk te verplaatsen.
“De technische uitvoeringsketen in deze campagne is zowel efficiënt als operationeel gedisciplineerd”, aldus Arctic Wolf. “Vanaf de eerste klik op de URL tot de volledige systeemcompromis, inclusief C2-installatie, diefstal van Telegram-sessies, het verzamelen van browsergegevens en persistentie, voltooide de aanvaller in minder dan vijf minuten.”
De beste antivirus voor elk budget
Volg TechRadar op Google Nieuws En voeg ons toe als voorkeursbron om ons deskundig nieuws, recensies en meningen in uw feeds te krijgen.
