Hackers norte-coreanos usam app de criptomoedas para controlar máquinas

1 min de leitura
Imagem de: Hackers norte-coreanos usam app de criptomoedas para controlar máquinas

Os hackers do grupo norte-coreano conhecido como Lazarus atacam novamente. Desta vez, os alvos são as transações com criptomoedas. De acordo com informações da firma de segurança Kaspersky Labs, os cibercriminosos vêm variando suas abordagens ao usar software falso para tomar conta das máquinas das vítimas.

A constatação foi feita após um ano de investigação. Em abril, a Kaspersky divulgou que o grupo conseguiu roubar US$ 81 milhões de um banco em Bangladesh. Enquanto analisava as pistas, a empresa descobriu que correntistas vinham baixando um utilitário chamado Celas Trade Pro, que realiza negociações de moedas digitais — mas na verdade esconde um malware. A distribuição desse aplicativo foi feita via email, por meio das recomendações da própria instituição.

Ao instalar o app, a suite maliciosa “FallChill” abre uma série de vulnerabilidades nas máquinas, o que permite que os bandidos possam controlá-las remotamente. À primeira vista, o Celas Trade Pro parece como qualquer outro aplicativo financeiro, com uma interface que apresenta dados de mercado.

lazarus

Ataques estão especialmente de olho em sistemas além do Windows

O curioso é que esse Cavalo de Troia não parece querer roubar as criptomoedas de forma direta. O objetivo seria aproveitar a crescente popularidade do setor para interromper cadeias de suprimento e controlar contas de pessoas em posição de poder. Os pesquisadores chamaram a atenção para o fato das invasões estarem acontecendo além do Windows, também em sistemas macOSLinux — aproveitando-se da falsa impressão que muitos têm de que esses ambientes são menos propensos a ataques virtuais.

Ao rastrear a Celas Limited, desenvolvedora do app Celas Trade Pro, a Kaspersky chegou a uma loja de comida chinesa em Chicago e em um endereço que cai no meio de uma mata. A firma diz que não pode determinar exatamente se a Celas Limited está realmente envolvida ou se foi também manipulada pelos hackers.

“Esta deve ser uma lição para todos nós e um alerta para as empresas que dependem de software de terceiros. Não confie automaticamente no código em execução nos seus sistemas. Nem um site de boa aparência, nem um perfil sólido da empresa nem os certificados digitais garantem a ausência de backdoors. A confiança deve ser conquistada e comprovada.”

Você sabia que o TecMundo está no Facebook, Instagram, Telegram, TikTok, Twitter e no Whatsapp? Siga-nos por lá.