- Um grupo de hackers norte-coreanos cria sites falsos de criptomoedas em esquema para roubar Bitcoin.
- Hackers usam grupos de Telegram para infectar dispositivos MacOS e Windows com malware.
O grupo hacker Lazarus associado ao governo norte-coreano desenvolveu um novo modus operandi para o roubo de Bitcoin. A empresa de segurança Kaspersky publicou um relatório detalhando as operações do grupo. De acordo com as suas pesquisas, o grupo atacou indivíduos na Rússia, China, Reino Unido, Polónia e instituições financeiras em todo o mundo.
A Kaspersky Labs determinou que a operação para roubar criptomoedas conhecida como “Operação AppleJeus Sequel” está activa desde 2018. O grupo usa vários métodos para atrair vítimas e infectar os seus computadores com malware que modifica a estrutura do software dos computadores afectados. Além disso, os hackers usam canais de telegram para espalhar malware malicioso.
Modus Operandi do grupo Lazarus: roubo não detectado de Bitcoin
“Operação AppleJeus Sequel” é uma continuação de uma operação anterior lançada pelo grupo Lazarus em 2018. Nessa altura, Kaspersky determinou que os hackers tinham encontrado um método para infectar os computadores MacOS. O grupo estava a aproveitar a confiança que os utilizadores têm nos seus computadores e no seu sistema operativo. Desde então, o grupo desenvolveu um novo método de ataque que consiste em criar toda uma infra-estrutura falsa dentro do esquema de roubo de Bitcoin.
O ataque ocorre em múltiplos estágios. Ele envolve a criação de falsas páginas web, empresas e plataformas, e o desenvolvimento de malware caseiro especificamente para atacar usuários de MacOS e Windows. A primeira fase do ataque começa nos referidos sites e plataformas falsas. Kaspersky Labs conseguiu encontrar alguns desses sites ainda ativos como ciptian e unioncrypto.
A infra-estrutura é o meio inicial pelo qual os computadores dos utilizadores são expostos a malware. O relatório afirma que os hackers acompanham essas mídias falsas com canais de Telegram que adicionam uma segunda etapa ao seu modus operandi. O Telegram é um dos meios de comunicação mais populares na comunidade de criptomoedas.
Os atacantes se aproveitam disso para inserir aplicações “deliberadamente manipuladas”. A empresa de segurança conseguiu encontrar um canal ativo utilizado pelos atacantes. O canal Telegram foi criado em dezembro de 2018. Isto dá uma ideia da idade da operação e do tempo que os hackers tiveram para aperfeiçoar o seu modus operandi.
Então, os usuários são atacados dependendo do seu sistema operacional e dispositivo. Para usuários de macOS foi determinado que os atacantes usam malware fabricado especificamente para estes computadores. Lazarus inseriu um mecanismo de autenticação no malware que afeta o sistema sem tocar o disco. Kaspersky menciona o exemplo de um aplicativo falso chamado JMTTrading que usa uma função simples de backdoor em sua execução.
Os utilizadores do Windows são afectados por um mecanismo de desencriptação que pode ser disfarçado como um actualizador para uma carteira específica. Felizmente, a pesquisa foi capaz de determinar o nome do programa falso: actualizador de carteiras WFC. Na imagem abaixo, Kaspersky mostra o fluxo de execução do malware criado pelo grupo Lazarus.
Ataques para roubar Bitcoin serão mais sofisticados
Embora a investigação da empresa de segurança tenha sido capaz de determinar o modus operandi atual do grupo Lazarus, suas conclusões são pessimistas. Kaspersky afirma que a mudança no modus operandi dos atacantes continuará e que se tornará mais sofisticado com o tempo.
O ecossistema de criptomoedas está familiarizado com ataques desta natureza. A CNF relatou dois grandes ataques que ocorreram na indústria de criptomoedas. O primeiro foi realizado na bolsa Mt. Gox e suas vítimas ainda estão à espera de retribuição pelo investimento perdido. Outro ataque mais recente foi realizado com a carteira PlusToken, que se revelou um esquema Ponzi que conseguiu subtrair mais de 3 bilhões de dólares de Bitcoin e Ethereum.
No entanto, o desenvolvimento de novos malwares e métodos de ataque está forçando os criptógrafos a estarem cada vez mais vigilantes sobre este tipo de ataques. No futuro pode ser difícil determinar se um website é autêntico à primeira vista ou se faz parte de um esquema de roubo muito maior.
Siga-nos no Facebook e Twitter e não perca mais nenhuma notícia quente! Gosta dos nossos índices de preços?
