Lazarus tem como alvo usuários de criptomoedas e atacam via extensão de navegador
A organização hacker norte-coreana Lazarus Group intensificou seus ataques cibernéticos ao mercado de criptomoedas em setembro de 2024, introduzindo novos vírus e malwares visando extensões de navegador e aplicativos de videoconferência. Isso de acordo com um relatório recente da empresa de segurança cibernética Group-IB.
O relatório detalha como o grupo expandiu seu foco para incluir essas plataformas, usando variantes de malware cada vez mais sofisticadas.
Ataques de extensão de navegador do Lazarus Group
Além da campanha “Entrevista Contagiosa”, que enganava os candidatos a emprego para que baixassem malware disfarçado de tarefas relacionadas ao trabalho, o Lazarus Group agora ampliou seus ataques para incluir aplicativos falsos de videoconferência. O FBI alertou sobre estes golpes recentemente.
Esse esquema agora evoluiu para incluir um aplicativo falso de videoconferência chamado “FCCCall”, que imita um software legítimo. Assim, uma vez instalado, o aplicativo implanta o malware BeaverTail. Esse malware é projetado para exfiltrar credenciais de navegadores e dados de carteiras de criptomoedas por meio de extensões de navegador.
Em seguida, ele instala um backdoor baseado em Python, chamado “InvisibleFerret”, comprometendo ainda mais o sistema da vítima. Esta última campanha destaca seu foco crescente em extensões de navegador de carteira de criptomoedas, visando especificamente MetaMask, Coinbase, BNB Chain Wallet, TON Wallet e Exodus Web3.
Analistas do Group-IB observam que o grupo agora está mirando uma ampla gama de aplicações, incluindo MetaMask e Coinbase, por exemplo. Ao usar JavaScript malicioso, eles induzem as vítimas a baixar software sob o pretexto de tarefas de revisão ou análise.
Pesquisadores do Group-IB identificaram um novo conjunto de scripts Python, chamado “CivetQ”, como parte do kit de ferramentas em evolução do grupo. Esses scripts indicam uma mudança de tática para assim atingir profissionais de blockchain por meio de plataformas de busca de emprego como WWR, Moonlight e Upwork.
Após fazer o contato inicial, os hackers geralmente mudam a conversa para o Telegram. Eles enganam as vítimas para que baixem um aplicativo falso de videoconferência ou um projeto Node.js, alegando que é para uma entrevista de emprego técnico.
A crescente ameaça do Lazarus Group ao mercado cripto e a recente exploração de vulnerabilidades do Microsoft Windows
O Lazarus Group continua sendo uma preocupação no setor de criptomoedas, especialmente com sua recente exploração de vulnerabilidades do Microsoft Windows. Isso porque o grupo aprimorou seus métodos, dificultando a detecção de softwares nocivos ao ocultar seu código malicioso de maneiras mais novas e sofisticadas.
Aliás, essa escalada reflete tendências mais amplas observadas pelo Federal Bureau of Investigation (FBI), que alertou recentemente que hackers norte-coreanos estão mirando funcionários em setores de finanças descentralizadas e criptomoedas com campanhas de engenharia social altamente especializadas.
Essas campanhas são projetadas para penetrar até mesmo nos sistemas mais seguros, representando uma ameaça contínua para organizações com criptoativos substanciais. Em um desenvolvimento relacionado, o Lazarus Group supostamente explorou uma vulnerabilidade de dia zero do Microsoft Windows.
A vulnerabilidade, rastreada como CVE-2024-38193 (pontuação CVSS: 7,8), foi identificada como um bug de escalonamento de privilégios no Windows Ancillary Function Driver (AFD.sys) para WinSock.
Por fim, dois pesquisadores, Luigino Camastra e Milánek, descobriram a falha de segurança que permitia que hackers acessassem partes restritas de sistemas de computador sem serem detectados. Todavia, a Microsoft corrigiu a falha como parte de sua atualização mensal Patch Tuesday em setembro de 2024.