Lazarus tem como alvo usuários de criptomoedas e atacam via extensão de navegador

Bitcoin Blockchain Criptomoedas Hackers
Relatório detalha como o grupo expandiu o foco para incluir plataformas de criptomoedas.
Last updated:
Author
Author
Gabriel Gomes
Fact Checked by
Author
Marta Stephens
Last updated:
Why Trust Us
Com mais de uma década de cobertura cripto, a Cryptonews oferece insights autoritativos nos quais você pode confiar. Nossa equipe veterana de jornalistas e analistas combina conhecimento aprofundado do mercado com testes práticos de tecnologias blockchain. Mantemos padrões editoriais rigorosos, garantindo a precisão factual e a imparcialidade na cobertura tanto de criptomoedas estabelecidas quanto de projetos emergentes. Nossa presença de longa data na indústria e compromisso com o jornalismo de qualidade fazem da Cryptonews uma fonte confiável no dinâmico mundo dos ativos digitais. Leia mais sobre a Cryptonews.

A organização hacker norte-coreana Lazarus Group intensificou seus ataques cibernéticos ao mercado de criptomoedas em setembro de 2024, introduzindo novos vírus e malwares visando extensões de navegador e aplicativos de videoconferência. Isso de acordo com um relatório recente da empresa de segurança cibernética Group-IB.

O relatório detalha como o grupo expandiu seu foco para incluir essas plataformas, usando variantes de malware cada vez mais sofisticadas.

Ataques de extensão de navegador do Lazarus Group

Além da campanha “Entrevista Contagiosa”, que enganava os candidatos a emprego para que baixassem malware disfarçado de tarefas relacionadas ao trabalho, o Lazarus Group agora ampliou seus ataques para incluir aplicativos falsos de videoconferência. O FBI alertou sobre estes golpes recentemente.

Esse esquema agora evoluiu para incluir um aplicativo falso de videoconferência chamado “FCCCall”, que imita um software legítimo. Assim, uma vez instalado, o aplicativo implanta o malware BeaverTail. Esse malware é projetado para exfiltrar credenciais de navegadores e dados de carteiras de criptomoedas por meio de extensões de navegador.

Em seguida, ele instala um backdoor baseado em Python, chamado “InvisibleFerret”, comprometendo ainda mais o sistema da vítima. Esta última campanha destaca seu foco crescente em extensões de navegador de carteira de criptomoedas, visando especificamente MetaMask, Coinbase, BNB Chain Wallet, TON Wallet e Exodus Web3.

Analistas do Group-IB observam que o grupo agora está mirando uma ampla gama de aplicações, incluindo MetaMask e Coinbase, por exemplo. Ao usar JavaScript malicioso, eles induzem as vítimas a baixar software sob o pretexto de tarefas de revisão ou análise.

Pesquisadores do Group-IB identificaram um novo conjunto de scripts Python, chamado “CivetQ”, como parte do kit de ferramentas em evolução do grupo. Esses scripts indicam uma mudança de tática para assim atingir profissionais de blockchain por meio de plataformas de busca de emprego como WWR, Moonlight e Upwork.

Após fazer o contato inicial, os hackers geralmente mudam a conversa para o Telegram. Eles enganam as vítimas para que baixem um aplicativo falso de videoconferência ou um projeto Node.js, alegando que é para uma entrevista de emprego técnico.

A crescente ameaça do Lazarus Group ao mercado cripto e a recente exploração de vulnerabilidades do Microsoft Windows

O Lazarus Group continua sendo uma preocupação no setor de criptomoedas, especialmente com sua recente exploração de vulnerabilidades do Microsoft Windows. Isso porque o grupo aprimorou seus métodos, dificultando a detecção de softwares nocivos ao ocultar seu código malicioso de maneiras mais novas e sofisticadas.

Aliás, essa escalada reflete tendências mais amplas observadas pelo Federal Bureau of Investigation (FBI), que alertou recentemente que hackers norte-coreanos estão mirando funcionários em setores de finanças descentralizadas e criptomoedas com campanhas de engenharia social altamente especializadas.

Essas campanhas são projetadas para penetrar até mesmo nos sistemas mais seguros, representando uma ameaça contínua para organizações com criptoativos substanciais. Em um desenvolvimento relacionado, o Lazarus Group supostamente explorou uma vulnerabilidade de dia zero do Microsoft Windows.

A vulnerabilidade, rastreada como CVE-2024-38193 (pontuação CVSS: 7,8), foi identificada como um bug de escalonamento de privilégios no Windows Ancillary Function Driver (AFD.sys) para WinSock.

Por fim, dois pesquisadores, Luigino Camastra e Milánek, descobriram a falha de segurança que permitia que hackers acessassem partes restritas de sistemas de computador sem serem detectados. Todavia, a Microsoft corrigiu a falha como parte de sua atualização mensal Patch Tuesday em setembro de 2024.

Leia mais:

Mais Artigos

Economia
Moody’s eleva nota do Brasil, que se aproxima do grau de investimento
Flavio Aguilar
Flavio Aguilar
2024-10-03 23:05:00
Notícias de Bitcoin
Três fatores para impulsionar o preço do Bitcoin ainda este ano
Daniela de Lacerda
2024-10-03 21:04:00