Grupo Lazarus ataca câmbios de criptomoedas de SO Mac

: Por João Fernandes; Set. 12, 2018

Este é o primeiro caso em que investigadores da Kaspersky Lab detetaram o grupo Lazarus a distribuir malware direcionado a sistemas operativos Mac, o que representa uma chamada de atenção para os utilizadores que recorrem a este SO para atividades relacionadas com criptomoedas.

Com base na análise da equipa GReAT, o acesso à infraestrutura de câmbio começou quando um colaborador de uma empresa transferiu uma aplicação de um site, aparentemente legítimo, de uma empresa de desenvolve software para câmbio de criptomoedas.

O código da aplicação não levantou suspeitas com exceção de um componente – uma atualização. Em softwares legítimos, este tipo de componentes são utilizados para transferir novas versões de programas. No caso da AppleJeus, este atuou como um modulo de reconhecimento: primeiro, recolheu informações básicas sobre o computador em que estava instalado, enviando-as de volta para o servidor de comando e controlo. Se os hackers considerarem que vale a pena atacar o computador em questão, o código malicioso é novamente enviado sob a forma de software de atualização. Este instala um Trojan de nome Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a atualizar recentemente e que proporcionou aos investigadores uma base para identificar os hackers. Após a instalação, o Trojan Fallchill proporciona-lhes um acesso quase ilimitado ao computador da vítima, permitindo-lhes roubar informações financeiras valiosas ou ativar ferramentas adicionais com o mesmo propósito.

A situação foi exacerbada pelo facto de os hackers terem ativado software para sistemas operativos Windows e Mac, este último sendo, em média, menos atacado por ciberameaças que o Windows. A funcionalidade do malware para ambas as plataformas é exatamente a mesma.

Outro detalhe pouco comum da operação AppleJeus é a de que, apesar de se assemelhar a um ataque à cadeia de abastecimento, na verdade não o é. O fornecedor do software de cambio de criptomoedas que foi utilizado para disseminar o malware no computador das vítimas tem um certificado digital válido para o seu website e registos legítimos do seu domínio. No entanto, e com base na informação pública disponível, os investigadores da Kaspersky Lab não conseguiram identificar nenhuma organização legítima localizada no endereço utilizado para o certificado.

“Detetámos um crescente interesse do grupo Lazarus nos mercados de criptomoedas no início de 2017, quando o software mineiro Monero foi instalado num dos seus servidores por um dos hackers do grupo. A partir daí, têm sido detetados em vários ataques direcionados a serviços de câmbio de criptomoedas juntamente com organizações financeiras legítimas. O facto de terem desenvolvido malware direcionado a utilizadores do sistema operativo Mac – para além do já existente para utilizadores de Windows – e criado uma empresa e um software totalmente fictícios de forma a conseguirem disseminar este malware sem serem detetados por soluções de segurança significa que os potenciais lucros destas operações são elevadíssimos e que poderemos esperar mais casos do género no futuro. Para os utilizadores de Mac, esta é uma chamada de atenção, especialmente se usam os seus computadores para operações relacionadas com criptomoedas,” afirma Vitaly Kamluk, diretor da equipa GReAT APAC da Kaspersky Lab.

O grupo Lazarus, reconhecido pelas suas sofisticadas operações e ligado à Coreia do Norte, é famoso não só pelos seus ataques de ciberespionagem e cibersabotagem mas também pelos ataques financeiros. Vários investigadores, incluindo os da Kaspersky Lab, já haviam reportado ataques anteriores do grupo a bancos e outras grandes organizações financeiras.

De forma a se proteger, e à sua empresa, de ciberataques sofisticados de grupos como o Lazarus, os especialistas da Kaspersky Lab aconselham a:

Não confiar absolutamente no código dos seus sistemas. Um website de aspeto legítimo, um perfil de uma empresa ou um certificado digital não são garantias da inexistência de backdoors que terão acesso às suas redes;
Utilizar uma solução de segurança robusta, equipada com tecnologias de deteção de comportamento malicioso que permitem a deteção e mitigação de ameaças anteriormente desconhecidas;
Subscrever as equipas de segurança IT a serviços de relatórios de inteligência de ameaças para que tenham acesso a informações e relatórios sobre os mais recentes desenvolvimentos em táticas, técnicas e procedimentos de sofisticados atores de ameaças;
Utilizar vários fatores de autentificação e hardware wallets no caso de transações financeiras substanciais. Neste caso, é preferível recorrer a um computador isolado e que não é utilizado para aceder à internet nem ao email.

O relatório completo pode ser encontrado em Securelist.com.

Classifique este item

(0 votos)

Ler 1871 vezes

Tagged em

lazarus,
kaspersky,

Mais nesta categoria: « TP-Link lança o primeiro ponto de acesso Omada com segunda geração do padrão 802.11ac ASUS ZenFone Max Pro (M1) já disponível em Portugal »

Itens relacionados

Ataques de malware expuseram mais de 2 milhões de cartões bancários
Set. 12, 2018
Kaspersky explica a evolução dos esquemas “nigerianos”
Set. 12, 2018
Kaspersky revela como os jovens ganham dinheiro na economia digital
Set. 12, 2018

Joomla SEF URLs by Artio

12:38 PM Hisense lança TV mini LED de 110 polegadas e custa 20 mil euros

12:34 PM Xiaomi lança campanha promocional para o novo Xiaomi 15 em Portugal

12:29 PM MEO é o primeiro a testar a realização de chamadas e SMSs via satélite em Portugal

12:27 PM 7% das contas do Netflix, Roblox e Discord divulgadas foram criadas com e-mails corporativo

12:24 PM Governo, Indústria e Educação foram os setores mais afetados por Ransomware em Portugal em 2024

Grupo Lazarus ataca câmbios de criptomoedas de SO Mac

Itens relacionados