Pesquisadores de segurança da Kaspersky Labs recentemente revelaram que o grupo de hackers norte-coreano Lazarus pode estar roubando criptomoedas via Telegram.
O interesse da Coreia do Norte por criptomoedas aumentou
A Coréia do Norte é conhecida por ser um dos países mais imprevisíveis do mundo. Ao longo dos anos, foi relatado que o país está tentando desenvolver armas nucleares e financiado várias outras iniciativas que são preocupantes para os outros países.
Seu progresso foi aparentemente interrompido, ou pelo menos desacelerado, devido às sanções dos EUA, mas o país começou recentemente a desenvolver um grande interesse pelas criptomoedas. De fato, até convidou um cidadão norte-americano, Virgil Griffith, para ir até o país e “palestrar” sobre criptomoedas. Depois de se apresentar, Griffith foi preso assim que voltou aos EUA no final de novembro de 2019.
Kaspersky emite um aviso contra o grupo
De acordo com uma declaração recente publicada por pesquisadores de segurança da Kaspersky, parece que o grupo Lazarus está dobrando seus esforços para roubar o máximo possível de criptomoedas. No entanto, a Kaspersky também encontrou evidências de que o grupo está usando uma abordagem diferente da sua última tentativa.
O grupo já estava de olho em criptomoedas antes, mas desta vez, sua metodologia é diferente. Seus membros estão usando táticas mais eficientes e adotando medidas mais cuidadosas, como o relatório alerta. O grupo trabalhou para melhorar sua furtividade enquanto infecta sistemas e rouba moedas digitais.
O grupo, supostamente, faz isso usando um malware que é executado na memória, em vez de ser executado em HD, o que permite que ele permaneça sem ser detectado. Além disso, os pesquisadores acreditam que o grupo está usando o Telegram – um aplicativo popular de mensagens – devido à sua grande comunidade adepta às criptomoedas.
Como o ataque funciona?
A nova iniciativa do Lazarus chama-se Operação APpleJeus Sequel, que segue a campanha da APpleJeus descoberta em 2018. Uma coisa permanece a mesma, a campanha ainda usa empresas de trading de criptomoedas falsas para atrair investidores.
Essas empresas falsas ainda apresentam sites cheios de links para grupos comerciais falsos do Telegram, onde os hackers continuam a enganar suas futuras vítimas. Além disso, eles usam o aplicativo do Telegram para entregar um vírus malicioso que infecta o sistema operacional do Microsoft Windows.
Depois que o sistema é infectado, os invasores podem acessá-lo remotamente e apropriar-se das criptomoedas mantidas dentro do dispositivo. Até agora, os pesquisadores conseguiram identificar várias vítimas em toda a Europa, mas também na China. Além disso, várias vítimas não eram indivíduos, mas empresas de criptomoedas. No entanto, ainda não se sabe quanto os hackers conseguiram roubar durante a nova campanha.
O que se sabe é que, no ano passado, a ONU informou que hackers coreanos roubaram cerca de US$2 bilhões de instituições financeiras e exchanges de criptomoedas. Alguns de seus maiores sucessos nos roubos das exchanges incluem o hack da Bithumb, da Youbit e de um mercado de mineração de criptomoedas em nuvem Nicehash.
Nesse caso, um porta-voz do Telegram avisou aos usuários que não é necessário entrar em pânico. O malware não reflete uma violação da segurança do Telegram e não é diferente do tipo de malware para download presente em sites ou e-mails maliciosos.
O malware está sendo distribuído como parte de um arquivo baixado nos sistemas de destino – isso não é diferente de baixá-lo de um site ou recebê-lo em um email. Os usuários podem impedir isso usando a higiene digital adequada: faça o download apenas dos arquivos de fontes confiáveis e use um programa antivírus respeitável.
Leia também: Pesquisador do Ethereum Virgil Griffith é formalmente indiciado no caso da Coreia do Norte