Segundo um estudo de especialistas de segurança, as empresas de criptomoedas e fintechs estão sendo alvo do ataque SnatchCrypto. O grupo que organiza este ataque é conhecido desde 2016, quando uma campanha cibernética foi efetuada contra o Banco Central de Bangladesh.
Ou seja, a ameaça é perigosa, mas ainda não tinha focado especificamente em empresas do mercado de criptomoedas.
Outros alvos são empresas que trabalham com contratos inteligentes, finanças descentralizadas e tecnologia blockchain.
Empresas de criptomoedas são alvo do ataque SnatchCrypto
Por trás desse ataque está o grupo APT BlueNoroff, conhecido por atacar um BC no passado e é monitorado por empresas de segurança.
Mas para a Kaspersky, empresa de segurança cibernética, os objetivos da nova ameaça contra empresas de criptomoedas é clara: roubar moedas e informações de usuários.
“Os autores desta campanha têm dois objetivos: coletar informações e roubar criptomoedas. Eles estão interessados principalmente em capturar dados de contas de usuário, endereços IP e informações de sessão.”
Ou seja, o ataque consiste em buscar acessar plataformas de criptomoedas, identificando valores que podem ser levados, além de conhecer os investidores, de modo a operar ataques contra esses clientes.
O que chama atenção nesse caso é que o ataque conduzido pelo SnatchCrypto é que ele pode demorar meses para ser concretizado. Isso porque, o grupo responsável pela sua condução gosta de estudar sua vítima por meses antes de atacar, uma forma de buscar dar um golpe certeiro.
Foco em alterar a MetaMask das vítimas
A empresa de cibersegurança ainda alertou para outra prática perigosa da campanha de ataque do SnatchCrypto que tem como alvo as empresas de criptomoedas, que tem relação com a MetaMask. Essa famosa carteira está sendo modificada em ataques, com usuários devendo tomar cuidado com o modo em que ela é carregada.
“Um sinal claro da atividade SnatchCrypto é uma extensão MetaMask modificada. Para usá-lo, os cibercriminosos têm que colocar o navegador no modo desenvolvedor e instalar a extensão MetaMask de um diretório local. É muito fácil verificar: se o modo do navegador foi alterado sem a sua permissão e a extensão é carregada de um diretório local, é provável que seu dispositivo esteja comprometido.”
Como grande parte do ataque envolve a engenharia social, e-mails falsos, é importante ensinar funcionários a tomar cuidados extras com possíveis fraudes. Além disso, manter atualizado os sistemas críticos de uso da empresa também pode ser uma prática que ajuda a mitigar os riscos desse problema.
E além do uso de um software antivírus de confiança, é importante pensar em uma solução de EDR, caso seja apropriado para sua infraestrutura.
