Um grupo de hackers que se acredita ser da Coréia do Norte está intensificando seu jogo para continuar suas campanhas de roubo de criptomoedas.
Em um comunicado publicado ontem, pesquisadores de segurança da Kaspersky dizem ter encontrado evidências para sugerir que o Lazarus fez mudanças significativas em sua metodologia de ataque.
De acordo com a Kaspersky, o grupo de hackers está tomando “medidas mais cuidadosas” e está empregando “táticas e procedimentos aprimorados” para roubar criptomoedas.
Em outras palavras, o Lazarus ajustou a maneira como infecta um sistema, permanece sem ser detectado e obtém ilegalmente criptomoeda de máquinas e vítimas comprometidas. Para não ser detectado, o malware do Lazarus é executado na memória, em vez de ser executado a partir de unidades de disco rígido.
Os pesquisadores dizem que o Lazarus agora está usando o aplicativo de mensagens Telegram – popular na comunidade de criptomoedas – como um de seus principais vetores de ataque.
Pesquisadores de segurança apelidaram a nova onda de táticas de “Operação AppleJeus Sequel”. Uma evolução da campanha AppleJeus que foi descoberta em 2018 e foi veiculada em 2019.
Como nas campanhas anteriores, a Kaspersky diz que as empresas de comércio de criptomoedas falsas são usadas para atrair vítimas. As empresas falsas têm sites completos com links para grupos comerciais igualmente falsos do Telegram.
Em um caso, um sistema Windows foi infectado por uma carga maliciosa entregue ao dispositivo através do Telegram messenger.
Uma vez infectados, os invasores podem obter acesso remoto para controlar o dispositivo comprometido e promover seus ataques. Lázaro quase sempre segue a criptomoeda.
Durante sua pesquisa, a Kaspersky encontrou vários desses sites falsos de comércio de criptomoedas. Ele acredita que eles foram criados usando modelos da web gratuitos.
Como pode ser visto na imagem abaixo, um dos sites falsos tinha um link ativo para um grupo de Telegram. Embora a Kaspersky tenha descoberto recentemente que o Telegram foi usado para entregar uma carga útil do Lazarus, o próprio grupo foi criado em dezembro de 2018.
Os pesquisadores dizem que identificaram várias vítimas, com base no Reino Unido, Polônia, Rússia e China. Várias dessas vítimas foram confirmadas como empresas de criptomoedas.
O valor da criptomoeda ou de outros fundos que a Lazarus conseguiu obter nesta campanha não foi mencionado.
De acordo com um relatório da ONU publicado em agosto passado, pensava-se que os hackers norte-coreanos haviam roubado US$ 2 bilhões invadindo instituições financeiras estrangeiras e exchanges de criptomoedas.
Com a última onda de atualizações de sua campanha, não parece que o Lazarus facilitará suas tentativas.
Traduzido e adaptado de: thenextweb.com
