Um grupo de hackers chamado Lazarus, que se acredita ser da Coreia do Norte, está intensificando seu jogo para continuar suas campanhas onde visa roubar criptomoedas; e o Telegram está sendo usado para isso.
Em um comunicado, pesquisadores de segurança da Kaspersky dizem ter encontrado evidências que sugerem que o Lazarus fez mudanças significativas em sua metodologia de ataque.
Lazarus está usando o Telegram para roubar criptomoedas
De acordo com a Kaspersky, o grupo de hackers está tomando “medidas mais cuidadosas” e está empregando “táticas e procedimentos aprimorados” para roubar criptomoedas.
Em outras palavras, o Lazarus ajustou a maneira como infecta um sistema, como permanece sem ser detectado e como obtém ilegalmente criptomoeda de máquinas e vítimas comprometidas. Para não ser detectado, o malware do Lazarus é executado na memória, em vez de ser executado a partir de unidades de disco rígido.
Os pesquisadores dizem que o Lazarus agora está usando o aplicativo de mensagens Telegram (popular na comunidade de criptomoedas) como um de seus principais vetores de ataque.
Pesquisadores de segurança apelidaram a nova onda de táticas de Operação AppleJeus Sequel. Uma evolução da campanha AppleJeus que foi descoberta em 2018 e foi veiculada em 2019.
Como nas campanhas anteriores, a Kaspersky diz que empresas de comércio de criptomoedas falsas são usadas para atrair vítimas. As empresas falsas têm sites completos com links para grupos comerciais igualmente falsos do Telegram.
Em um caso, um sistema Windows foi infectado por um arquivo malicioso entregue ao dispositivo através do Telegram.
Uma vez infectados, os invasores podem obter acesso remoto para controlar o dispositivo comprometido e promover seus ataques. O Lazarus quase sempre procura criptomoeda.
Durante sua pesquisa, a Kaspersky encontrou vários desses sites falsos de comércio de criptomoedas. Ela acredita que eles foram criados usando modelos gratuitos da web.
Mais sobre como funciona o ataque
Como pode ser visto na imagem abaixo, um dos sites falsos tinha um link ativo para um grupo de Telegram. Embora a Kaspersky tenha descoberto recentemente que o Telegram foi usado para entregar uma “carga útil” do Lazarus, o próprio grupo foi criado em dezembro de 2018.
Os pesquisadores dizem que identificaram várias vítimas, com base no Reino Unido, Polônia, Rússia e China. Além disso, várias dessas vítimas foram confirmadas como sendo empresas de criptomoedas.
Por fim, o valor em criptomoedas ou de outros fundos que o Lazarus conseguiu roubar nesta campanha usando o Telegram não foi mencionado.
De acordo com um relatório da ONU publicado em agosto de 2019, pensava-se que os hackers norte-coreanos haviam roubado US$ 2 bilhões invadindo instituições financeiras estrangeiras e exchanges de criptomoedas.
Fonte: The Next Web