Grupo norte-coreano sofistica ataque para roubar criptomoedas

Da Redação
09/01/2020

Grupo Lazarus, detectado em 2018, ampliou e sofisticou a operação Applejeus, utilizando agora o Telegram nos ataques

A Equipe Global de Pesquisa e Análise da Kaspersky (GReAT) anunciou ter descoberto que o grupo norte-coreano Lazarus ampliou e sofisticou sua operação Applejeus, detectada inicialmente em 2018. A operação é destinada a roubar criptomoedas e continua ativa, porém com etapas mais cuidadosas, táticas e procedimentos aprimorados e o uso do Telegram como um dos novos vetores de ataque. Vítimas no Reino Unido, Polônia, Rússia e China, além de várias entidades comerciais ligadas à criptomoeda, foram afetadas durante o atual desenvolvimento da operação.

Os pesquisadores da Kaspersky identificaram mudanças significativas nas táticas de ataque do grupo. O vetor de ataque nos ataques do Lazarus em 2019 tiveram algumas melhorias, incluindo sites falsos relacionados a criptomoedas, que hospedavam links para canais falsos do Telegram da organização e forneciam malware por esse aplicativo.

Ataque do Lazarus tem duas fases

Assim como na operação inicial do AppleJeus, o ataque consistiu em duas fases. Os usuários primeiro faziam o download de um aplicativo e o downloader associado buscava o payload num servidor remoto, para que o invasor controlasse totalmente o dispositivo infectado com um backdoor permanente. Agora, a carga útil é instalada com mais cuidado, para evitar sua detecção pelas soluções baseadas em comportamento. Nos ataques contra alvos baseados em macOS, por exemplo, um mecanismo de autenticação foi adicionado ao macOS downloader e a estrutura de desenvolvimento foi alterada. Além disso, foi adotada uma técnica de infecção sem arquivos. Para usuários do Windows, os atacantes evitaram o uso do malware Fallchill (empregado na primeira operação do AppleJeus) e criaram um malware que só era executado em sistemas específicos, depois de compará-los com um conjunto de variáveis internas. Essas mudanças demonstram que o ator da ameaça se tornou mais cuidadoso em seus ataques, empregando novos métodos para evitar a detecção.

O Lazarus também fez modificações significativas nos malwares do macOS e expandiu o número de versões. Diferente do ataque anterior, durante o qual o Lazarus usou o QtBitcoinTrader de código aberto para criar um instalador do macOS, desta vez começou a usar seu código caseiro para criar um instalador. Esses desenvolvimentos significam que o Lazarus continuará criando modificações no malware macOS.

Especialidade do grupo é roubar criptomoedas

O grupo Lazarus é um dos atores mais ativos e prolíficos de ameaças persistentes avançadas (APT). Já fez várias campanhas visando organizações relacionadas a criptomoedas. Durante sua operação inicial do AppleJeus em 2018, criou uma empresa de criptomoeda falsa para entregar um aplicativo manipulado e explorar a confiança entre as possíveis vítimas. Nessa operação o Lazarus criou seu primeiro malware para macOS. O aplicativo foi baixado e a carga maliciosa foi entregue por meio de uma atualização do aplicativo. A carga permitiu controle total do dispositivo dos usuários e roubo de criptomoedas.

O grupo Lazarus, conhecido por suas operações sofisticadas e links para a Coréia do Norte, é notório não apenas por seus ataques de espionagem cibernética e cibersabotagem, mas também por ataques motivados financeiramente. Vários pesquisadores, incluindo os da Kaspersky, relataram anteriormente sobre esse grupo visando bancos e outras grandes empresas financeiras.

Compartilhar: