Hackers supostamente com ligações com a Coreia do Norte que atacaram empresas de comércio eletrônico em 2019 e 2020 para roubar dados de cartões de crédito também estão fazendo investidas para tentar roubar criptomoedas, de acordo com a empresa de segurança cibernética Group-IB.
O mais recente relatório da empresa traz descobertas publicadas em julho do ano passado pela empresa de segurança holandesa Sansec, que relatou que uma infraestrutura maliciosa e, em muitos casos, também o malware estavam sendo usados para ataques ao estilo Magecart, um esquema de captura de cartões usado por sete grupos de cibercriminosos, que haviam sido atribuídos anteriormente ao grupo de hackers Lazarus.
O Lazarus — também conhecido como Hidden Cobra, Dark Seoul, Guardians of Peace, APT38, Bluenoroff e uma série de outros nomes — refere-se a um grupo de hackers com aparentes laços com o poder central da Coreia do Norte, em Pyongyang, liderado pelo ditador por Kim Jong-un.
A modalidade de ataque do Magecart para roubar dados de cartões envolve o uso das chamadas ferramentas de leitura ou raspagem — também conhecidas como farejadores de JavaScript — que injetam malwares nos sites de comércio eletrônico.
A Sansec é uma das várias empresas que vasculham a web em busca de sinais de ataques Magecart. No ano passado, a empresa verificou que, embora os primeiros ataques de Magecart fossem em grande parte provenientes de gangues russas e indonésias, o governo da Coreia do Norte teria entrado na briga, trazendo um maior grau de sofisticação, em busca de grandes somas de dinheiro, já que o país enfrenta grandes dificuldades financeiras em razão do seu isolamento.
Veja isso
Grupo hacker Lazarus volta atacar com nova estrutura de malware
Grupo de hackers Lazarus atualiza arsenal de ataques com malware Vyveva
O Group-IB afirma que, após revisar a campanha de ataque descoberta pela Sansec, também encontrou sinais sugerindo que os invasores estão testando não apenas formas de roubar dados de cartões, mas também criptomoedas. A empresa diz ter encontrado a mesma infraestrutura usada junto com uma versão modificada do mesmo JavaScript sniffer — também conhecida como JS-sniffer — que a Sansec descreveu em seu relatório. O Grupo IB apelidou a campanha voltada para a criptomoeda Lazarus BTC Changer.
“Combinado com o histórico da gangue de perseguir criptografia, a campanha torna possível atribuir os ataques ao Lazarus com um alto nível de confiança”, disse Victor Okorokov, analista chefe de inteligência de ameaças do Group-IB.
O Group-IB diz que os fundos roubados parecem ter sido direcionados para carteiras de criptomoedas supostamente pertencentes à CoinPayments.net, um portal de pagamento que permite aos usuários realizar transações envolvendo Bitcoin, Ethereum, Litecoin e outras criptomoedas. O Lazarus pode ter usado o site para lavar dinheiro roubado, movendo-os para outras bolsas ou carteiras de criptomoedas. Com agências de notícias internacionais.
