Hackers da Coreia do Norte atacam empresas cripto que usam computadores macOs com falso leitor PDF

Empresas de criptomoedas podem estar na mira de grupo hacker norte-coreano Bluenoroff, que desenvolveu o malware RustBucket
Tela vermelha de smartphone mostra o termo malware

Foto: Shutterstock

Foi encontrado um novo malware (vírus) que ataca computadores macOs através de um falso leitor PDF e está vinculado ao grupo Bluenoroff, supostamente subordinado ao gabinete de inteligência norte-coreano RGB. As informações estão no relatório da Sekoia publicado na segunda-feira (22).

Os ataques parecem ter o objetivo de “arrecadar fundos” e possuem como alvo fintechs e empresas da indústria cripto.

Publicidade

O relatório explica que o grupo Bluenoroff possui ligação com a agência de inteligência do governo da Coreia do Norte e exerce a função de “geração de renda” por meio de ataques cibernéticos desde 2015.

“Desde 2017, o Bluenoroff foi observado conduzindo campanhas financeiras voltadas para exchanges de criptomoedas e entidades relacionadas a capital de risco na Europa, Ásia, EUA e Emirados Árabes Unidos.”

Em dezembro de 2022 o grupo hacker foi visto atacando computadores macOs com o malware RustBucket, o que é uma novidade para o grupo que antes apenas direcionava seus esforços para computadores Windows, segundo o relatório da Sekoia. Outros grupos norte-coreanos, como Lazarus e Reaper, já atacavam usuários de macOs.

O ataque em questão consiste em um instalador para macOs que instala um leitor de PDF funcional com uma “porta dos fundos” (backdoor, no inglês). Backdoor é o nome técnico de um “acesso privilegiado” construído pelos desenvolvedores de um determinado sistema, no dispositivo dos clientes.

Este leitor então vai solicitar a abertura de um arquivo em PDF específico, com a função de “chave”, para engatilhar a infecção no dispositivo alvo. Caso o PDF infectado tente ser aberto em um leitor legítimo, emitirá um aviso ao usuário para abrir com o leitor adequado — no caso, o malware RustBucket do Bluenoroff.

Arquivo PDF infectado por hacker ao ser aberto em um leitor legítimo direciona o usuário para o leitor PDF com a "porta dos fundos" | Fonte: Sekoia.io
Arquivo PDF infectado ao ser aberto em um leitor legítimo direciona o usuário para o leitor PDF com a “porta dos fundos” | Fonte: Sekoia.io

“Este é um Documento Interno do Departamento de Justiça dos EUA. Utilize um visualizador dedicado para ler.”

Exemplo de ataque com PDF + Leitor de PDF contaminados pelo malware

Ao seguir os passos, a máquina é então invadida pelo grupo norte-coreano que pode ter acesso a informações delicadas e acesso a fundos financeiros ou painéis de controle de empresas e projetos. Podendo ser altamente rentável ao ser direcionado contra empresas do mercado de criptomoedas.

Publicidade

O que não faltam são exemplos de casos que projetos cripto foram vítimas de hackers e malwares. Apenas em abril, o Portal do Bitcoin noticiou os seguintes:

Os hackers ligados à Coreia do Norte estão ocupados realizando suas operações há muito tempo. 2022 foi um ano particularmente notável, pois eles conseguiram roubar cerca de US$ 1,7 bilhão em cripto de várias entidades, segundo a BeInCrypto.

A Chainalysis observou que o número quadruplicou em relação a 2021, quando eles roubaram US$ 429 milhões.