Hackers norte-coreanos estão visando criptomoedas e terminais de PDV

Pesquisadores de segurança descobriram uma nova campanha de malware de ampla disseminação visando usuários de criptomoedas e acredita ser de origem do Lazarus Group, um grupo de hackers patrocinado pelo governo norte-coreano.

Ativo desde 2009, o grupo foi atribuído a muitos ataques, incluindo o da Sony Pictures, roubo de 81 milhões de dólares do Bangladesh Bank, e o mais recente, o ransomware WannaCry.

Os EUA culparam oficialmente a Córeia do Norte pelo ataque mundial realizado pelo ransomware WannaCry, que infectou centenas de milhares de computadores em mais de 150 países no início do ano.

Em novidades separadas, especialistas em segurança culparam o Lazarus Group por roubar bitcoins que valem milhões de dólares, do YouBit da Coréia do Sul, obrigando-o a fechar as portas após perder 17% de seus ativos.

Pesquisadores da empresa de segurança Proofpoint publicaram um novo relatório, revelando uma conexão entre o Lazarus Group e vários ataques cibernéticos de vários estágios contra usuários de criptomoedas e sistemas de ponto de venda.

O grupo tem de concentrado cada vez mais em ataques com motivação financeira e parece estar tirando proveito dos juros crescentes e preços elevados das criptomoedas” disseram os especialistas. “O arsenal de ferramentas, bem como os exploits do Lazarus Group é extenso e está em constante desenvolvimento“.

Anatomia do ataque às criptomoedas

Após analisar uma grande quantidade de e-mails de phishing com diferentes vetores de ataque, os pesquisadores descobriram uma ferramenta PowerShell, presente no arsenal dos hackers, chamada de PowerRatankba.

A criptografia, ofuscação, a funcionalidade, os chamarizes e os servidores de comando e controle (C&C) utilizados pelo PowerRatankba, se assemelha bastante a versão original do Ratankba, desenvolvido pelo Lazarus Group.

O PowerRatankba está sendo disseminado por meio de uma grande campanha de e-mail contendo os seguintes vetores de ataque:

  • Um executável do tipo downloader, chamado de PowerSpritz
  • Arquivos maliciosos disfarçados de atalhos do Windows (LNK);
  • Vários outros arquivos do tipo Microsoft Compiled HTML Help (CHM);
  • Multiplos downloaders em JavaScript (JS);
  • Documentos contendo macros do Microsoft Office;
  • Aplicações populares de criptomoedas escondidas em sites falsos.

O PowerRatankba, com pelo menos duas ferramentas mais potentes, atua como um malware de primeiro estágio, oferecendo uma backdoor completa (nesse caso, a Gh0st RAT) apenas para empresas, organizações e pessoas que tenham interesse em criptomoedas.

Durante nossa pesquisa, descobrimos que as infecções de sandboxing a longo prazo do PowerRatankba que não executam aplicações relacionadas à criptomoedas nunca chegaram no segundo estágio. Isso pode indicar que o(s) operador(es) do PowerRatankba só estavam interessados em infectar dispositivos de proprietários com interesse em várias criptomoedas“. (Leia no final do post o relatório em PDF de 38 páginas, publicado pela Proofpoint).

Uma vez instalado, o Gh0st RAT permite que cibercriminosos roubem credenciais utilizadas em carteiras (wallets) e em “casas de câmbio” de criptomoedas.

É notável que o PowerRatankba e Gh0st RAT não explorem qualquer vulnerabilidade zero-day. Em vez disso, o Lazarus Group depende de práticas de programação mista, como a comunicação C&C através de HTTP, o uso do algoritmo de criptografia Spritz e o criptografador personalizado codificado em Base64.

Ataques a terminais PDV

Além de roubar criptomoedas, foi descoberto que o grupo também estaria infectando terminais SoftCamp de PDV (ponto de venda), na sua grande maioria, localizados na Coréia do Sul, por meio do malware RatankbaPOS, para assim roubar dados de cartão de crédito.

Como o RatankbaPOS estava compartilhando o mesmo servidor de C&C utilizado pelo PowerRatankba, acredita-se que ambas as ameaças estão ligadas ao Lazarus Group.

O aumento explosivo dos valores da criptomoeda motivou não só os comerciantes, mas também os hackers a investirem o seu tempo e recursos na obtenção de “riquezas digitais”.

Mais detalhes sobre os novos ataques de malware executados pelo Lazarus Group podem ser encontrados no relatório (PDF) detalhado entitulado “North Korea Bitten by Bitcoin Bug—Financially motivated campaigns reveal a new dimension of the Lazarus Group“, publicado na quarta-feira, 20/12.

Fonte:

https://thehackernews.com/2017/12/lazarus-hacking-bitcoin.html

O Analista

Adoro letras verdes sob um fundo preto...