Эксперты «Лаборатории Касперского» раскрыли серию атак кибергруппы BlueNoroff по всему миру, главной целью которых стали небольшие организации, специализирующиеся на криптовалюте, сервисах DeFi (децентрализованные финансы), блокчейне и финтех-индустрии. 

Атака получила название SnatchCrypto. Злоумышленники делают ставку на человеческий фактор, отправляя сотрудникам организаций-жертв полнофункциональный бэкдор Windows под видом договора или другого документа. Чтобы красть криптовалюту, злоумышленники разработали сложную инфраструктуру, включая эксплойты и вредоносные импланты.

BlueNoroff входит в состав более крупной группы, Lazarus, использует её структуру и технологии. На данный момент BlueNoroff сконцентрировалась на атаках на криптовалютные стартапы, большинство из которых не могут позволить себе крупные инвестиции в систему безопасности. При этом группа BlueNoroff активна и атакует пользователей в разных странах, в том числе в России, на Украине, в США, Китае и Индии. 

BlueNoroff рассылает письма якобы от существующих венчурных компаний в качестве приманки, чтобы заставить жертву открыть приложение к письму — документ с поддержкой макросов. Исследователи «Лаборатории Касперского» обнаружили, что в ходе кампании SnatchCrypto неправомерно использовались торговые марки и имена сотрудников более 15 венчурных организаций. 

По данным экспертов, злоумышленники получают уведомление о крупных переводах. Когда пользователь пытается перевести деньги на другой счёт, они перехватывают процесс транзакции и изменяют его. Чтобы завершить начатую транзакцию, пользователь нажимает «Подтвердить». В этот момент атакующие меняют адрес получателя и увеличивают сумму перевода до максимума, фактически опустошая счёт одним движением.