Como hackers norte-coreanos estão atacando máquinas de engenheiros blockchain para roubar criptomoedas

As vítimas acreditam estar instalando um robô de arbitragem, mas na verdade é o malware Kandykorn
Hacker mexendo em notebook com bandeira da Coreia do Norte no fundo

Shutterstock

O Lazarus Group, grupo de hackers norte-coreanos, está por trás de um novo malware chamado Kandykorn que foi programado para infectar sistemas macOS, como MacBooks, de engenheiros desenvolvedores de redes blockchain que trabalham em exchanges de criptomoedas.

A afirmação é da Elastic Security Labs, uma empresa de segurança cibernética de origem holandesa baseada nos EUA, que detectou o novo vírus e publicou um relatório para alertar os profissionais que usam dispositivos Apple.

Publicidade

“Atribuímos esta atividade à RPDC (República da Coreia do Norte) e reconhecemos sobreposições com o Grupo Lazarus com base na nossa análise das técnicas, infraestrutura de rede, certificados de assinatura de código e regras personalizadas de detecção”, diz um trecho do relatório da Elastic publicado no final de outubro.

A empresa de segurança diz que rastreou os dados até abril de 2023, mas que “a ameaça ainda está ativa e as ferramentas e técnicas estão sendo continuamente desenvolvidas”.

Como age o novo malware do Grupo Lazarus

A Elastic descreveu um dos casos em que trabalhou para o relatório. A empresa conta que, primeiramente, os hackers que desenvolveram o Kandykorn se preocuparam em como atrair os engenheiros de blockchain. Eles criaram então um aplicativo Python para obter acesso inicial ao ambiente.

“Esta intrusão envolveu vários estágios complexos, cada um empregando técnicas deliberadas de evasão de defesa. O conjunto de invasões foi observado em um sistema macOS onde um adversário tentou carregar binários na memória, o que é atípico em invasões macOS”, explica a empresa, ao compartilhar o desenho do fluxo de intrusão.

Publicidade
(Fonte: Elastic Security Labs)

O início do ataque ocorre com os invasores se passando por membros da comunidade de engenharia blockchain em uma conta no Discord. Após escolher uma vítima, eles então “trabalham” sua tática de engenharia social, convencendo-a a baixar e descompactar um arquivo ZIP contendo o código malicioso.

“A vítima acreditava estar instalando um bot [robô] de arbitragem, uma ferramenta de software capaz de lucrar com diferenças de taxas de criptomoedas entre plataformas”, descreve, acrescentando que “essa execução deu início ao fluxo de execução de malware primário da intrusão REF7001, culminando em KANDYKORN”.

É na última etapa da cadeia do ataque que o Lazarus consegue acessar e extrair dados dos computadores de suas vítimas com o objetivo de roubar criptomoedas.

Como alertou a Avira em um artigo, “ao contrário do que muita gente pensa, o MacOS não é imune a malwares”. Portanto, o alerta sugere que hackers não perdem tempo nem mesmo quando se trata de dispositivos menos populares.

Publicidade

Sobre o Grupo Lazarus

O conhecido grupo de hackers norte-coreanos Lazarus roubou pelo menos US$ 3,4 bilhões em criptomoedas usando engenharia social, usando até mesmo o LinkedIn como forma de enganar as pessoas e roubar os recursos.

O número foi divulgado pelo site DL News e inclui dados de ataques desde 2007, contando com o da Harmony’s Horizon, de US$ 100 milhões em 2022, da Atomic Wallet, de US$ 35 milhões este ano, e o ataque de ransomware WannaCry em 2017.

Entre as formas como o Lazarus realiza seus ataques está o uso de plataformas de recrutamento como o LinkedIn para atrair as pessoas. Um exemplo foi na chamada Operação In(ter)ception, feita em 2019.

No mesmo ano, o Departamento do Tesouro dos EUA aplicou sanções ao grupo, ligando-o oficialmente aos espiões do Gabinete Geral de Reconhecimento da Coreia do Norte. O Tesouro também atribuiu ao grupo o status de financiador do programa de armas nucleares terroristas.