CISA alerta que atacantes norte-coreanos estão mirando em empresas Blockchain

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), juntamente com o Federal Bureau of Investigation (FBI) e o Departamento do Tesouro Americano, alertaram sobre um novo conjunto de ataques cibernéticos em andamento realizados pelo Lazarus Group tendo como alvo empresas de blockchain.

A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA), juntamente com o Federal Bureau of Investigation (FBI) e o Departamento do Tesouro Americano, alertaram sobre um novo conjunto de ataques cibernéticos em andamento realizados pelo Lazarus Group, tendo como alvo empresas de blockchain.

Chamando o cluster de atividades de TraderTraitor, as infiltrações envolvem o ator de Ameaças Persistentes Avançadas (APT) patrocinados pelo Estado norte-coreano, atacando entidades que operam na indústria da Web3.0 desde, pelo menos, 2020.

As organizações-alvo incluem exchanges de criptomoedas, protocolos de Finanças Descentralizadas (DeFi), videogames de criptomoedas, empresas de comércio de criptomoedas, fundos de capital de risco que investem em criptomoedas e detentores individuais de grandes quantidades de criptomoedas ou valiosos Tokens Não Fungíveis (NFTs) .

As cadeias de ataque começam com o agente da ameaça alcançando as vítimas por meio de diferentes plataformas de comunicação, para atraí-las para o download de aplicativos de criptomoeda armados para Windows e macOS. Aproveitando posteriormente o acesso para propagar o malware pela rede e, realizar atividades subsequentes para roubar chaves privadas e iniciar transações de blockchain não autorizadas.

O comunicado diz que “as invasões começam com um grande número de mensagens de spear phishing enviadas a funcionários de empresas de criptomoedas. […] As mensagens geralmente imitam um esforço de recrutamento e oferecem empregos bem remunerados para atrair os destinatários a baixar aplicativos de criptomoedas com malware”.

Essa tática está longe de ser a primeira vez que o grupo implantou malware personalizado para roubar criptomoedas. Outras campanhas montadas pelo Lazarus Group consistem na Operação AppleJeus, SnatchCrypto e, mais recentemente, no uso de aplicativos de carteira DeFi trojanizados para máquinas Windows de backdoor.

A ameaça TraderTraitor compreende uma série de aplicativos de criptografia falsos que são baseados em projetos de código aberto e finge ser software de negociação de criptomoedas ou previsão de preços. Dessa maneira, a ameaça entrega o trojan de acesso remoto Manuscrypt, um malware anteriormente vinculado às campanhas de ataques do grupo contra as indústrias de criptomoedas e jogos para dispositivos móveis.

A lista de aplicativos maliciosos é:

  • DAFOM (dafom[.]dev)
  • TokenAIS (tokenais[.]com)
  • CryptAIS (cryptais[.]com)
  • AlticGO (alticgo[.]com)
  • Esilet (esilet[.]com), e
  • CreAI Deck (creaideck[.]com)

A divulgação ocorre menos de uma semana depois que o Departamento do Tesouro atribuiu o roubo de criptomoeda da Rede Ronin do Axie Infinity ao Grupo Lazarus, sancionando o endereço da carteira usado para receber os fundos roubados.

“Atores cibernéticos patrocinados pelo estado norte-coreano usam uma gama completa de táticas e técnicas para explorar redes de computadores de interesse, adquirir propriedade intelectual sensível de criptomoeda e obter ativos financeiros”, disseram as agências.

“Esses atores provavelmente continuarão explorando vulnerabilidades de empresas de tecnologia de criptomoedas, empresas de jogos e exchanges para gerar e lavar fundos.”

Fonte: thehackernews.com

Posts relacionados: A União Europeia mira em ransomware com planos de tornar criptomoedas rastreáveis e proibir o anonimato / Casa Branca organiza Reunião Transnacional para discutir Ransomware e Pagamentos de ransomware no 1º Semestre de 2021 ultrapassam o ano de 2020