Hacker mexendo em notebook com bandeira da Coreia do Norte no fundo
Shutterstock

O Lazarus Group, grupo de hackers norte-coreanos, está por trás de um novo malware chamado Kandykorn que foi programado para infectar sistemas macOS, como MacBooks, de engenheiros desenvolvedores de redes blockchain que trabalham em exchanges de criptomoedas.

A afirmação é da Elastic Security Labs, uma empresa de segurança cibernética de origem holandesa baseada nos EUA, que detectou o novo vírus e publicou um relatório para alertar os profissionais que usam dispositivos Apple.

Publicidade

“Atribuímos esta atividade à RPDC (República da Coreia do Norte) e reconhecemos sobreposições com o Grupo Lazarus com base na nossa análise das técnicas, infraestrutura de rede, certificados de assinatura de código e regras personalizadas de detecção”, diz um trecho do relatório da Elastic publicado no final de outubro.

A empresa de segurança diz que rastreou os dados até abril de 2023, mas que “a ameaça ainda está ativa e as ferramentas e técnicas estão sendo continuamente desenvolvidas”.

Como age o novo malware do Grupo Lazarus

A Elastic descreveu um dos casos em que trabalhou para o relatório. A empresa conta que, primeiramente, os hackers que desenvolveram o Kandykorn se preocuparam em como atrair os engenheiros de blockchain. Eles criaram então um aplicativo Python para obter acesso inicial ao ambiente.

“Esta intrusão envolveu vários estágios complexos, cada um empregando técnicas deliberadas de evasão de defesa. O conjunto de invasões foi observado em um sistema macOS onde um adversário tentou carregar binários na memória, o que é atípico em invasões macOS”, explica a empresa, ao compartilhar o desenho do fluxo de intrusão.

Publicidade
(Fonte: Elastic Security Labs)

O início do ataque ocorre com os invasores se passando por membros da comunidade de engenharia blockchain em uma conta no Discord. Após escolher uma vítima, eles então “trabalham” sua tática de engenharia social, convencendo-a a baixar e descompactar um arquivo ZIP contendo o código malicioso.

“A vítima acreditava estar instalando um bot [robô] de arbitragem, uma ferramenta de software capaz de lucrar com diferenças de taxas de criptomoedas entre plataformas”, descreve, acrescentando que “essa execução deu início ao fluxo de execução de malware primário da intrusão REF7001, culminando em KANDYKORN”.

É na última etapa da cadeia do ataque que o Lazarus consegue acessar e extrair dados dos computadores de suas vítimas com o objetivo de roubar criptomoedas.

Como alertou a Avira em um artigo, “ao contrário do que muita gente pensa, o MacOS não é imune a malwares”. Portanto, o alerta sugere que hackers não perdem tempo nem mesmo quando se trata de dispositivos menos populares.

Publicidade

Sobre o Grupo Lazarus

O conhecido grupo de hackers norte-coreanos Lazarus roubou pelo menos US$ 3,4 bilhões em criptomoedas usando engenharia social, usando até mesmo o LinkedIn como forma de enganar as pessoas e roubar os recursos.

O número foi divulgado pelo site DL News e inclui dados de ataques desde 2007, contando com o da Harmony’s Horizon, de US$ 100 milhões em 2022, da Atomic Wallet, de US$ 35 milhões este ano, e o ataque de ransomware WannaCry em 2017.

Entre as formas como o Lazarus realiza seus ataques está o uso de plataformas de recrutamento como o LinkedIn para atrair as pessoas. Um exemplo foi na chamada Operação In(ter)ception, feita em 2019.

No mesmo ano, o Departamento do Tesouro dos EUA aplicou sanções ao grupo, ligando-o oficialmente aos espiões do Gabinete Geral de Reconhecimento da Coreia do Norte. O Tesouro também atribuiu ao grupo o status de financiador do programa de armas nucleares terroristas.

VOCÊ PODE GOSTAR
Imagem da matéria: Manhã Cripto: CVM aplica multa de R$ 55,8 milhões a Atlas Quantum e dono foragido

Manhã Cripto: CVM aplica multa de R$ 55,8 milhões a Atlas Quantum e dono foragido

A CVM multou a pirâmide financeira Atlas Quantum após identificar indícios “robustos e consistentes” de que tudo não passava de uma operação fraudulenta
Gustavo Scarpa em um campo de futebol usando o uniforme do Atlético Mineiro

Scarpa x Bigode: Pedras preciosas não valem como garantia em processo contra pirâmide cripto, diz PF

Um laudo das pedras de alexandrita apreendidas da suposta pirâmide Xland foi avaliado por um juiz, que determinou que elas não têm valor significativo
Moeda de Ethereum na frente de gráfico

Ethereum pode surpreender positivamente nos próximos meses, diz Coinbase

Subindo menos que outras criptomoedas em 2024, o Ethereum pode se recuperar e superar seus pares nos próximos meses, avalia a Coinbase
Bitcoin em gráfico de alta com seta azul apontado para o alto

Traders esperam que Bitcoin supere a máxima de US$ 74 mil em breve

“Esperamos um impulso de alta aqui que pode nos levar de volta às máximas de US$ 74 mil”, disse a QCP Capital sobre o momento do Bitcoin