O grupo Lazarus, uma organização de hackers norte-coreana anteriormente ligada a atividades criminosas, foi conectada a um novo esquema de ataque para violar sistemas e roubar criptomoedas de terceiros. A campanha, que usa uma versão modificada de um produto de malware já existente chamado Applejeus, usa um site criptográfico e até mesmo documentos para obter acesso aos sistemas.
Malware Lazarus modificado usou site criptográfico como fachada
A Volexity, uma empresa de segurança cibernética com sede em Washington DC, vinculou o Lazarus, um grupo de hackers norte-coreano já sancionado pelo governo dos EUA, com uma ameaça envolvendo o uso de um site criptográfico para infectar sistemas a fim de roubar informações e criptomoedas de terceiros.
Uma postagem no blog emitido em 1º de dezembro revelou que, em junho, a Lazarus registrou um domínio chamado “bloxholder.com”, que mais tarde seria estabelecido como uma empresa que oferece serviços de negociação automática de criptomoedas. Usando esse site como fachada, o Lazarus solicitava que os usuários baixassem um aplicativo que servia como carga útil para entregar o malware Applejeus, direcionado para roubar chaves privadas e outros dados dos sistemas dos usuários.
A mesma estratégia foi usada por Lazarus antes. No entanto, esse novo esquema usa uma técnica que permite ao aplicativo “confundir e desacelerar” as tarefas de detecção de malware.
Macros de documento
A Volexity também descobriu que a técnica para entregar esse malware aos usuários finais mudou em outubro. O método se transformou para usar documentos do Office, especificamente uma planilha contendo macros, uma espécie de programa embutido nos documentos projetado para instalar o malware Applejeus no computador.
O documento, identificado com o nome “OKX Binance & Huobi VIP fee comparision.xls”, mostra os benefícios que cada um dos programas VIP dessas bolsas supostamente oferece em seus diferentes níveis. Para mitigar esse tipo de ataque, é recomendável bloquear a execução de macros em documentos, além de escrutinar e monitorar a criação de novas tarefas no sistema operacional para estar ciente de novas tarefas não identificadas em execução em segundo plano. No entanto, a Veloxity não informou o nível de alcance que esta campanha atingiu.
Lázaro foi formalmente indiciou pelo Departamento de Justiça dos EUA (DOJ) em fevereiro de 2021, envolvendo um operacional do grupo ligado a uma organização de inteligência norte-coreana, o Reconnaissance General Bureau (RGB). Antes disso, em março de 2020, o DOJ indiciou dois cidadãos chineses por ajudar na lavagem de mais de US$ 100 milhões em criptomoeda ligada às façanhas de Lazarus.
O que você acha da mais recente campanha de malware de criptomoeda da Lazarus? Conte-nos na seção de comentários abaixo.
Créditos de imagem: Shutterstock, Pixabay, Wiki Commons
Aviso Legal: Este artigo é somente para propósitos de informação. Não se trata de uma oferta ou solicitação direta de uma oferta de compra ou venda, nem de uma recomendação ou endosso de qualquer produto, serviço ou empresa. Bitcoin.com não fornece consultoria sobre investimentos, impostos, questões legais ou contábeis. Nem a empresa nem o autor são responsáveis, direta ou indiretamente, por qualquer dano ou perda causado ou alegadamente causado por ou relacionado ao uso ou confiança em qualquer conteúdo, bens ou serviços mencionados neste artigo.
Fonte: https://news.bitcoin.com/north-korean-lazarus-group-linked-to-new-cryptocurrency-hacking-scheme/