Os Estados Unidos identificaram uma série de ataques hackers apoiados pelo governo norte-coreano que têm como alvo empresas de criptomoedas. A estratégia adotada pelos cibercriminosos consiste no uso de phishing, malware e exploração de vulnerabilidades, tendo como objetivo roubar contas e realizar transações em blockchain fraudulentas.
Após a descoberta da ameaça, o Federal Bureau of Investigation (FBI), a Cybersecurity and Infrastructure Security Agency (CISA) e o Departamento do Tesouro dos EUA emitiram um comunicado de cibersegurança a todas as empresas de criptomoedas, alertando para potenciais ataques de hackers apoiados pelo governo da Coreia do Norte.
O aviso conjunto mostra a preocupação do governo norte-americano em relação aos ciberataques. Ainda na semana passada, o Departamento do Tesouro constatou que o roubo de US$ 600 milhões da blockchain Ronin Network havia sido resultado das ações de hackers do Lazarus.
A tática adotada pelo grupo de distribuir malware para roubar criptomoedas já tem motivado o envio de alertas desde 2020. O comunicado recente representa apenas mais uma tentativa por parte dos EUA de chamar a atenção das empresas para as ações do Lazarus.
Lazarus
Conforme explica o FBI, desde o início de abril de 2022, membros do grupo Lazarus, baseado Coreia do Norte, têm realizado ataques a diversas empresas, entidades e exchanges na indústria de blockchain e criptomoedas. Ainda de acordo com o comunicado, os cibercriminosos utilizam campanhas de phishing e malware para roubar criptomoedas.
As previsões dos EUA para o futuro próximo não são otimistas. O texto menciona que é provável que os hackers continuem a explorar vulnerabilidades em empresas de tecnologia de criptoomoedas, além de companhias de jogos e exchanges para realizar operações de lavagem de dinheiro como forma de apoiar o regime da Coreia do Norte.
Uma característica comum dos ataques realizados pelo Lazarus é o fato de eles começarem com mensagens phishing destinadas a funcionários de empresas de criptomoedas. Geralmente, as potenciais vítimas trabalham nas áreas de administração de sistemas, desenvolvimento de software/operações de TI ou em cargos DevOps.
As mensagens costumam simular ofertas de emprego com salários atrativos a fim de convencer a vítima a realizar o download de aplicativos de criptomoedas com malware. O FBI batizou esse tipo de ferramenta fraudulenta de “TraderTraitor”.
TradeTraitor
O termo TraderTraitor passou a ser utilizado para se referir a um conjunto de aplicações maliciosas escritas em JavaScript, com um runtime Node.js também usando Electron, para criar apps que rodam em sistemas Windows e macOS.
Os cibercriminosos ainda utilizam diversos projetos open-source de crypto-trading e previsões de preços para empacotar o malware. Em seguida, é realizado um falso processo de atualização que desencadeia o download e execução da carga maliciosa.
O comunicado do FBI explica que as cargas maliciosas incluem variantes atualizadas do Manuscrypt, um trojan de acesso remoto (RAT) personalizado, para macOS e Windows que coletam informações do sistema e têm a capacidade de executar comandos arbitrários, além de fazer o download de cargas adicionais.
Após comprometer um sistema, os hackers realizam ações planejadas especificamente para cada vítima, sendo que muitas vezes o ataque é concluído dentro de uma semana desde a invasão inicial.
