A Microsoft relata que um ator de ameaça foi identificado visando startups de investimento em criptomoeda. Uma parte que a Microsoft apelidou de DEV-0139 se apresentou como uma empresa de investimento em criptomoeda no Telegram e usou um arquivo do Excel armado com malware “bem elaborado” para infectar sistemas que ele acessou remotamente.
A ameaça faz parte de uma tendência de ataques de alto nível de sofisticação. Nesse caso, o agente da ameaça, identificando-se falsamente com perfis falsos de funcionários da OKX, juntou-se a grupos do Telegram “usados para facilitar a comunicação entre clientes VIP e plataformas de troca de criptomoedas”, disse a Microsoft escreveu em uma postagem no blog de 6 de dezembro. A Microsoft explicou:
“Estamos […] vendo ataques mais complexos em que o agente da ameaça mostra grande conhecimento e preparação, tomando medidas para ganhar a confiança de seu alvo antes de implantar cargas úteis.”
Em outubro, o alvo foi convidado a ingressar em um novo grupo e, em seguida, pediu feedback sobre um documento do Excel que comparava as estruturas de taxas VIP da OKX, Binance e Huobi. O documento forneceu informações precisas e alto conhecimento da realidade do comércio de criptomoedas, mas também carregou de forma invisível um arquivo .dll (Dynamic Link Library) malicioso para criar um backdoor no sistema do usuário. O alvo foi então solicitado a abrir o arquivo .dll por conta própria durante a discussão sobre as taxas.
O infame Lazarus Group da RPDC desenvolveu versões novas e aprimoradas de seu malware de roubo de criptomoedas AppleJeus, marcando a mais recente tentativa do regime de angariar fundos para os programas de armas de Kim Jong-un. @nknewsorg @EthanJewell https://t.co/LjimOmPI5s
- Presidente do CSIS Coreia (@CSISKoreaChair) 6 de dezembro de 2022
A própria técnica de ataque há muito é conhecido. A Microsoft sugeriu que o agente da ameaça era o mesmo encontrado usando arquivos .dll para fins semelhantes em junho e que provavelmente estava por trás de outros incidentes também. De acordo com a Microsoft, DEV-0139 é o mesmo ator que a empresa de segurança cibernética Volexity ligado para o Lazarus Group, patrocinado pelo estado da Coreia do Norte, usando uma variante de malware conhecida como AppleJeus e um MSI (instalador da Microsoft). A Agência Federal de Segurança Cibernética e Infraestrutura dos Estados Unidos documentado AppleJeus em 2021 e Kaspersky Labs relatado nele em 2020.
Relacionado: Grupo norte-coreano Lazarus supostamente por trás do hack da Ronin Bridge
O Departamento do Tesouro dos EUA se conectou oficialmente Lazarus Group ao programa de armas nucleares da Coreia do Norte.
Fonte: https://cointelegraph.com/news/north-korean-lazarus-group-is-targeting-crypto-funds-with-a-new-spin-on-an-old-trick