Empresas de criptomoedas estão no centro de uma nova onda de ataques cibernéticos realizados por hackers norte-coreanos, que utilizam um malware sofisticado para infectar dispositivos macOS. A campanha, apelidada de “Hidden Risk” pela empresa de cibersegurança SentinelOne, é atribuída ao grupo BlueNoroff, conhecido por explorar malware avançado e técnicas engenhosas de engenharia social. Esse grupo utiliza abordagens como phishing e PDFs falsos para enganar funcionários e infiltrá-los em redes corporativas.
Pesquisadores da SentinelOne, como Raffaele Sabato, Phil Stokes e Tom Hegel, relatam que os atacantes criaram e-mails contendo falsas manchetes sobre criptomoedas para persuadir vítimas a baixar um arquivo PDF malicioso. Esse arquivo, na verdade, é um aplicativo macOS que engana ao se passar por um documento PDF legítimo. O método foi usado pela primeira vez em julho de 2024, com a entrega de um dropper para macOS que disfarça seu conteúdo prejudicial.
Atraindo Alvos com Engenharia Social e Falsas Oportunidades
Em setembro de 2024, o FBI dos Estados Unidos confirmou a complexidade das táticas de engenharia social usadas pelos hackers. Esses ataques buscam se infiltrar em empresas que atuam em finanças descentralizadas (DeFi) e criptomoedas, simulando oportunidades de emprego ou investimentos promissores. Os hackers passam semanas ou até meses interagindo com suas vítimas, criando laços de confiança antes de implantar o malware.
Recentemente, a SentinelOne identificou um caso onde um aplicativo dropper, disfarçado de documento sobre “Riscos Ocultos no Preço do Bitcoin”, foi compartilhado por e-mail no final de outubro de 2024. Esse dropper, hospedado no domínio delphidigital[.]org, simulava ser um arquivo PDF e trazia uma assinatura válida emitida pela Apple, reforçando a autenticidade do aplicativo. Após ser aberto, o aplicativo exibe um PDF falso e, ao mesmo tempo, baixa um executável de segundo estágio que funciona como um backdoor para o sistema.
Novo Mecanismo de Persistência e Evasão de Notificações
Os pesquisadores observaram que o malware utiliza um novo método de persistência por meio do arquivo de configuração zshenv, inédito em ataques a dispositivos macOS. A escolha dessa técnica evita notificações de persistência nas versões mais recentes do macOS, como o macOS 13 Ventura. Dessa forma, os usuários são menos propensos a detectar a presença do malware.
Além disso, os agentes utilizam uma infraestrutura sofisticada, com domínios e provedores de hospedagem focados em temas de criptomoeda, Web3 e investimentos. Isso permite que o BlueNoroff passe despercebido e estabeleça um vínculo de confiança antes de comprometer o sistema alvo.
Diversificação nas Táticas e Desafios de Identificação
Embora a “Hidden Risk” represente uma abordagem de phishing mais direta, o histórico do BlueNoroff e do Lazarus Group, ambos ligados a atividades maliciosas norte-coreanas, destaca um padrão de adaptação contínua. Especialistas acreditam que esses grupos monitoram relatórios públicos e ajustam suas técnicas conforme necessário, o que inclui mudanças em ferramentas e métodos de infecção.
A recente campanha é um exemplo claro dessa adaptação. Enquanto no passado eles usavam abordagens de longo prazo e envolviam mídias sociais, a “Hidden Risk” se diferencia por utilizar e-mails de phishing como meio de entrada. A simplicidade dessa técnica, contudo, não minimiza o risco, já que o malware utiliza métodos avançados para se ocultar e resistir a tentativas de remoção.
Hackers Usam Identidades de Desenvolvedores para Burlar Segurança
Um aspecto preocupante é a capacidade do BlueNoroff de usar identidades válidas de desenvolvedores da Apple para autenticar o malware. Isso possibilita que o software nocivo pareça confiável, tornando mais fácil para os hackers infiltrar sistemas macOS. Nos últimos doze meses, esses agentes têm mirado empresas ocidentais de criptomoedas, se passando por possíveis empregadores em entrevistas de trabalho e testes técnicos. Essas campanhas foram denominadas “Entrevista Contagiante” e “Wagemole” e são atribuídas a uma nova vertente do Lazarus Group, conhecida como Famous Chollima.
Essas campanhas mostram uma evolução nas técnicas dos hackers norte-coreanos, que continuam aprimorando métodos para roubar criptomoedas e contornar sanções.