Grupo Lazarus ataca câmbios de criptomoedas de SO Mac - Wintech

Este é o primeiro caso em que investigadores da Kaspersky Lab detetaram o grupo Lazarus a distribuir malware direcionado a sistemas operativos Mac, o que representa uma chamada de atenção para os utilizadores que recorrem a este SO para atividades relacionadas com criptomoedas.

Com base na análise da equipa GReAT, o acesso à infraestrutura de câmbio começou quando um colaborador de uma empresa transferiu uma aplicação de um site, aparentemente legítimo, de uma empresa de desenvolve software para câmbio de criptomoedas.

O código da aplicação não levantou suspeitas com exceção de um componente – uma atualização. Em softwares legítimos, este tipo de componentes são utilizados para transferir novas versões de programas. No caso da AppleJeus, este atuou como um modulo de reconhecimento: primeiro, recolheu informações básicas sobre o computador em que estava instalado, enviando-as de volta para o servidor de comando e controlo. Se os hackers considerarem que vale a pena atacar o computador em questão, o código malicioso é novamente enviado sob a forma de software de atualização. Este instala um Trojan de nome Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a atualizar recentemente e que proporcionou aos investigadores uma base para identificar os hackers. Após a instalação, o Trojan Fallchill proporciona-lhes um acesso quase ilimitado ao computador da vítima, permitindo-lhes roubar informações financeiras valiosas ou ativar ferramentas adicionais com o mesmo propósito.

A situação foi exacerbada pelo facto de os hackers terem ativado software para sistemas operativos Windows e Mac, este último sendo, em média, menos atacado por ciberameaças que o Windows. A funcionalidade do malware para ambas as plataformas é exatamente a mesma.

Outro detalhe pouco comum da operação AppleJeus é a de que, apesar de se assemelhar a um ataque à cadeia de abastecimento, na verdade não o é. O fornecedor do software de cambio de criptomoedas que foi utilizado para disseminar o malware no computador das vítimas tem um certificado digital válido para o seu website e registos legítimos do seu domínio. No entanto, e com base na informação pública disponível, os investigadores da Kaspersky Lab não conseguiram identificar nenhuma organização legítima localizada no endereço utilizado para o certificado.

“Detetámos um crescente interesse do grupo Lazarus nos mercados de criptomoedas no início de 2017, quando o software mineiro Monero foi instalado num dos seus servidores por um dos hackers do grupo. A partir daí, têm sido detetados em vários ataques direcionados a serviços de câmbio de criptomoedas juntamente com organizações financeiras legítimas. O facto de terem desenvolvido malware direcionado a utilizadores do sistema operativo Mac – para além do já existente para utilizadores de Windows – e criado uma empresa e um software totalmente fictícios de forma a conseguirem disseminar este malware sem serem detetados por soluções de segurança significa que os potenciais lucros destas operações são elevadíssimos e que poderemos esperar mais casos do género no futuro. Para os utilizadores de Mac, esta é uma chamada de atenção, especialmente se usam os seus computadores para operações relacionadas com criptomoedas,” afirma Vitaly Kamluk, diretor da equipa GReAT APAC da Kaspersky Lab.

O grupo Lazarus, reconhecido pelas suas sofisticadas operações e ligado à Coreia do Norte, é famoso não só pelos seus ataques de ciberespionagem e cibersabotagem mas também pelos ataques financeiros. Vários investigadores, incluindo os da Kaspersky Lab, já haviam reportado ataques anteriores do grupo a bancos e outras grandes organizações financeiras.

De forma a se proteger, e à sua empresa, de ciberataques sofisticados de grupos como o Lazarus, os especialistas da Kaspersky Lab aconselham a:

  • Não confiar absolutamente no código dos seus sistemas. Um website de aspeto legítimo, um perfil de uma empresa ou um certificado digital não são garantias da inexistência de backdoors que terão acesso às suas redes;
  • Utilizar uma solução de segurança robusta, equipada com tecnologias de deteção de comportamento malicioso que permitem a deteção e mitigação de ameaças anteriormente desconhecidas;
  • Subscrever as equipas de segurança IT a serviços de relatórios de inteligência de ameaças para que tenham acesso a informações e relatórios sobre os mais recentes desenvolvimentos em táticas, técnicas e procedimentos de sofisticados atores de ameaças;
  • Utilizar vários fatores de autentificação e hardware wallets no caso de transações financeiras substanciais. Neste caso, é preferível recorrer a um computador isolado e que não é utilizado para aceder à internet nem ao email.

O relatório completo pode ser encontrado em Securelist.com.

Classifique este item
(0 votos)
Ler 153 vezes
Tagged em

Sobre nós

Nascida em 2002, a Wintech é uma pagina web que reúne informações sobre tecnologia. Apresenta regularmente guias, análises, reportagens e artigos especiais de tudo o que rodeia o mundo tecnológico. Saiba mais.

Wintech TV

Newsletter

Receba as notícias no seu e-mail

Top