{"id":26744,"date":"2022-01-19T20:23:00","date_gmt":"2022-01-19T18:23:00","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=26744"},"modified":"2022-01-20T10:02:04","modified_gmt":"2022-01-20T08:02:04","slug":"snatchcrypto-bluenoroff","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/snatchcrypto-bluenoroff\/26744\/","title":{"rendered":"La b\u00fasqueda de criptomonedas de BlueNoroff"},"content":{"rendered":"

Nuestros expertos han estado estudiando una campa\u00f1a maliciosa dirigida a empresas que trabajan con criptomonedas, contratos inteligentes, finanzas descentralizadas y tecnolog\u00eda de cadena de bloques. Los atacantes est\u00e1n interesados en la industria fintech<\/em> en general y su campa\u00f1a, llamada SnatchCrypto, est\u00e1 relacionada con el grupo de APT BlueNoroff, una entidad conocida ya rastreada en el ataque del 2016 al banco central de Banglad\u00e9s.<\/p>\n

Los objetivos de SnatchCrypto<\/h2>\n

Los autores de esta campa\u00f1a tienen dos objetivos: recopilar informaci\u00f3n y robar criptomonedas. Principalmente est\u00e1n interesados en recopilar datos de cuentas de usuario, direcciones IP e informaci\u00f3n de sesiones; adem\u00e1s, tambi\u00e9n roban archivos de configuraci\u00f3n de programas que trabajan directamente con criptomonedas y que pueden contener credenciales y dem\u00e1s informaci\u00f3n sobre las cuentas. Los atacantes estudian minuciosamente a las v\u00edctimas potenciales, de hecho, a veces llegan a monitorizar su actividad durante meses.<\/p>\n

Uno de sus m\u00e9todos supone la manipulaci\u00f3n de extensiones de navegador populares para la gesti\u00f3n de monederos de criptomonedas. Por ejemplo, pueden cambiar la fuente de una extensi\u00f3n en los ajustes del navegador para que se instale desde el almacenamiento local (es decir, una versi\u00f3n modificada) en lugar de la p\u00e1gina web oficial de la tienda. Tambi\u00e9n pueden usar la extensi\u00f3n de Metamask modificada para Chrome con el objetivo de reemplazar la l\u00f3gica de transacci\u00f3n, lo que les permite robar fondos incluso de aquellos que usan dispositivos de hardware<\/em> para firmar transferencias de criptomonedas.<\/p>\n

Los m\u00e9todos de invasi\u00f3n de BlueNoroff<\/h2>\n

Los atacantes estudian con detenimiento a sus v\u00edctimas y utilizan la informaci\u00f3n que obtienen para implementar ataques de ingenier\u00eda social. Como norma general, escriben e-mails<\/em> que parecen provenir de empresas de capital de riesgo reales, pero con un documento adjunto habilitado para macros. Una vez abierto, este documento descarga una puerta trasera. Para m\u00e1s informaci\u00f3n t\u00e9cnica sobre el ataque y sus m\u00e9todos, puedes visitar este art\u00edculo de Securelist<\/a>.<\/p>\n

C\u00f3mo proteger tu empresa de los ataques de SnatchCrypto<\/h2>\n

Una se\u00f1al clara de actividad de SnatchCrypto es una extensi\u00f3n de MetaMask modificada. Para usarla, los atacantes tienen que poner el navegador en modo desarrollador e instalar la extensi\u00f3n de MetaMask desde un directorio local. Es muy f\u00e1cil comprobarlo: si el modo del navegador se ha cambiado sin tu permiso y la extensi\u00f3n se carga desde un directorio local, lo m\u00e1s probable es que tu dispositivo est\u00e9 comprometido.<\/p>\n

Adem\u00e1s, te recomendamos utilizar las siguientes medidas de protecci\u00f3n habituales:<\/p>\n