Grupo hacker Lazarus ataca bolsa de criptomoedas usando malware para macOS

Está lembrando do Lazarus? Esse grupo hacker que seria financiado pela Coreia do Norte ficou conhecido por atacar a Sony em 2014 –  represália ao lançamento do polêmico filme “A Entrevista”. O grupo também estaria relacionado ao desenvolvimento do ransonware WannaCry

De acordo com pesquisadores da Kaspersky Lab e membros da Equipe de Pesquisa e Análise Global (GReAT), o ato mais recente do grupo é o AppleJeus, uma operação criminosa que atingiu uma bolsa de criptmoedas na Ásia.

Para a invasão foi utilizado um software de negociação de moedas criptografadas transformado em cavalo de Troia. O objetivo do ataque era roubar criptomoedas das vítimas. Além do malware para Windows, os pesquisadores conseguiram identificar uma versão ainda desconhecida direcionada à plataforma macOS.

Esta foi a primeira vez que os pesquisadores da Kaspersky Lab observaram o famoso grupo Lazarus distribuindo um malware que visa usuários do macOS. Isso é um alerta para todos que usam esse sistema operacional para atividades que envolvem moedas criptografadas. De acordo com a análise dos pesquisadores do GReAT, a invasão da infraestrutura da bolsa de valores começou quando um funcionário da empresa baixou, de forma inocente, um aplicativo de terceiros de um site que parecia ser de um desenvolvedor de software de comercialização de criptomoeda.

“O código do aplicativo não levanta suspeitas, exceto por conter um componente de atualização. Em softwares legítimos, esses componentes são usados para baixar novas versões do programa. No caso do AppleJeus, ele atua como um módulo de reconhecimento: primeiro, coleta informações básicas do computador em que foi instalado. Depois, envia essas informações para o servidor de comando e controle e, se os invasores decidirem que vale a pena invadir o computador, o código malicioso retorna na forma de uma atualização de software”, explica o comunicado da Kaspersky.

pexels photo 844125

A atualização maliciosa instala um cavalo de Troia conhecido como Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a utilizar recentemente. Isso deu aos pesquisadores uma base para a atribuição. Durante a instalação, o cavalo de Troia Fallchill possibilita o acesso praticamente ilimitado dos invasores ao computador atacado, permitindo o roubo de informações financeiras valiosas ou a implementação de outras ferramentas capazes de fazer isso.

A situação ficou ainda pior pelo fato de os criminosos terem desenvolvido o software para as plataformas Windows e macOS. Em geral, o Mac é muito menos vulnerável a ameaças cibernéticas que o Windows. A funcionalidade das duas versões da plataforma do malware é exatamente a mesma.

Um outro ponto incomum da operação do AppleJeus é que, embora pareça se um ataque à cadeia de fornecimento, na verdade, talvez não seja esse o caso. O fornecedor do software de negociação de criptomoeda que foi usado para entregar a carga maliciosa nos computadores das vítimas tem um certificado digital válido para assinar seu software e registros do domínio que parecem legítimos. No entanto, segundo as informações disponíveis publicamente, os pesquisadores da Kaspersky Lab não conseguiram identificar nenhuma organização verdadeira localizada no endereço usado nas informações do certificado.

apple mac malware

Nós observamos um interesse crescente do Lazarus Group nos mercados de moeda criptografada no início de 2017, quando o software de mineração Monero foi instalado em um dos servidores do grupo por um operador do Lazarus. Desde então, eles foram identificados várias vezes atingindo bolsas de criptomoeda juntamente com organizações financeiras convencionais. O fato de terem desenvolvido malware para infectar usuários do macOS, além dos usuários do Windows e, mais provavelmente, terem até criado uma empresa e um produto de software totalmente falsos para conseguir que o malware seja distribuído sem ser detectado por soluções de segurança significa que eles têm a expectativa de grandes ganhos com toda a operação, e certamente podemos esperar mais casos como esse em breve”, alerta Vitaly Kamluk, chefe da Equipe de Pesquisa e Análise Global (GReAT) da Kaspersky Lab na região da APAC. “Para os usuários do macOS, esse caso é um alerta, especialmente para aqueles que usam seus Macs para realizar operações com moedas criptografadas”, finaliza.

Recomendações de proteção contra casos sofisticados como esse:

  • Não confie automaticamente no código que é executado em seus sistemas. Nem a aparência autêntica de um site, nem perfil sólido de uma empresa, nem certificados digitais garantem a ausência de backdoors;
  • Use uma solução de segurança eficiente, equipada com tecnologias de detecção de comportamento malicioso capazes de identificar até ameaças anteriormente desconhecidas;
  • Inscreva a equipe de segurança de sua organização em um serviço de relatórios de inteligência de ameaças de qualidade para obter acesso imediato a informações sobre as evoluções mais recentes em termos de táticas, técnicas e procedimentos de agentes de ameaças sofisticadas;
  • Ao lidar com transações financeiras significativas, use a autenticação multifator e carteiras de hardware. Para essa finalidade, é preferível usar um computador autônomo isolado que você não utiliza para navegar pela Internet, nem para ler e-mail.

Leia também!

Top 10: termos mais comuns relacionados ao mundo das criptomoedas

Tudo o que você precisa saber sobre a mineração de criptomoedas via navegador

Postado por
Editor-chefe no Hardware.com.br/GameVicio Aficionado por tecnologias que realmente funcionam. Segue lá no Insta: @plazawilliam Elogios, críticas e sugestões de pauta: william@hardware.com.br
Siga em:
Compartilhe
Deixe seu comentário
Assine nossa Newsletter
Assine nossa newsletter e receba nossa seleção de conteúdo sobre tecnologia, games, IA e internet em seu email.
Veja também
Publicações Relacionadas
Img de rastreio
Localize algo no site!