A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), juntamente com o Federal Bureau of Investigation (FBI) e o Departamento do Tesouro, alertaram sobre um novo conjunto de ataques cibernéticos em andamento realizados pelo Grupo Lazarus visando empresas de blockchain.
Chamando o cluster de atividades TraderTraitor, as infiltrações envolvem o ator de ameaça persistente avançada (APT) patrocinado pelo Estado norte-coreano atacando entidades que operam na indústria Web3.0 desde menos 2020.
As organizações-alvo incluem exchanges de criptomoedas, protocolos de finanças descentralizadas (DeFi), videogames de criptomoedas de jogar para ganhar, empresas de comércio de criptomoedas, fundos de capital de risco que investem em criptomoedas e detentores individuais de grandes quantidades de criptomoedas ou valiosos tokens não fungíveis (NFTs) .
As cadeias de ataque começam com o agente da ameaça alcançando as vítimas por meio de diferentes plataformas de comunicação para atraí-las para o download de aplicativos de criptomoeda armados para Windows e macOS, aproveitando posteriormente o acesso para propagar o malware pela rede e realizar atividades subsequentes para roubar chaves privadas e iniciar transações não autorizadas de blockchain.
“As invasões começam com um grande número de mensagens de spear phishing enviadas a funcionários de empresas de criptomoedas”, diz o comunicado. “As mensagens geralmente imitam um esforço de recrutamento e oferecem empregos bem remunerados para atrair os destinatários a baixar aplicativos de criptomoedas com malware”.
Esta está longe de ser a primeira vez que o grupo implantou malware personalizado para roubar criptomoedas. Outras campanhas montadas pelo Lazarus Group consistem em Operation AppleJeus, SnatchCrypto e, mais recentemente, usando o DeFi trojanizado aplicativos de carteira para máquinas Windows de backdoor.
A ameaça TraderTraitor inclui vários aplicativos de criptografia falsos que são baseados em projetos de código aberto e afirmam ser software de negociação de criptomoedas ou previsão de preços, apenas para fornecer o Manuscrypt tróia de acesso remoto, um malware anteriormente vinculado às campanhas de hackers do grupo contra os setores de criptomoedas e jogos para dispositivos móveis.
A lista de aplicativos maliciosos está abaixo –
- DAFOM (dafom[.]dev)
- TokenAIS (tokenais[.]com)
- CryptAIS (cryptais[.]com)
- AlticGO (alticgo[.]com)
- Esilet (esilet[.]com), and
- CreAI Deck (creaideck[.]com)
A divulgação ocorre menos de uma semana após o Departamento do Tesouro atribuiu o roubo de criptomoeda da Rede Ronin da Axie Infinity ao Grupo Lazarus, sancionando o endereço da carteira usada para receber os fundos roubados.
“Atores cibernéticos patrocinados pelo Estado norte-coreano usam uma gama completa de táticas e técnicas para explorar redes de computadores de interesse, adquirir propriedade intelectual de criptomoeda sensível e obter ativos financeiros”, disseram as agências.
“Esses atores provavelmente continuarão explorando vulnerabilidades de empresas de tecnologia de criptomoedas, empresas de jogos e exchanges para gerar e lavar fundos para apoiar o regime norte-coreano”.
Fonte: TheHackerNews