Especialistas da Kaspersky Lab e membros da Equipe de Pesquisa e Análise Global (GReAT), descobriram o AppleJeus – nova operação maliciosa do implacável grupo Lazarus. Os criminosos invadiram a rede de uma bolsa de criptomoeda na Ásia usando um software de negociação de moedas criptografadas transformado em cavalo de Troia. O objetivo do ataque era roubar criptomoedas das vítimas. Além do malware para Windows, os pesquisadores conseguiram identificar uma versão ainda desconhecida direcionada à plataforma macOS.
Essa foi a primeira vez que os pesquisadores da Kaspersky Lab observaram o famoso grupo Lazarus distribuindo um malware que visa usuários do macOS. Isso é um alerta para todos que usam esse sistema operacional para atividades que envolvem moedas criptografadas.
De acordo com a análise dos pesquisadores do GReAT, a invasão da infraestrutura da bolsa de valores começou quando um funcionário da empresa baixou, de forma inocente, um aplicativo de terceiros de um site que parecia ser de um desenvolvedor de software de comercialização de criptomoeda.
O código do aplicativo não levanta suspeitas, exceto por conter um componente de atualização. Em softwares legítimos, esses componentes são usados para baixar novas versões do programa. No caso do AppleJeus, ele atua como um módulo de reconhecimento: primeiro, coleta informações básicas do computador em que foi instalado.
Depois, envia essas informações para o servidor de comando e controle e, se os invasores decidirem que vale a pena invadir o computador, o código malicioso retorna na forma de uma atualização de software. A atualização maliciosa instala um cavalo de Troia conhecido como Fallchill, uma ferramenta antiga que o grupo Lazarus voltou a utilizar recentemente. Isso deu aos pesquisadores uma base para a atribuição. Durante a instalação, o cavalo de Troia Fallchill possibilita o acesso praticamente ilimitado dos invasores ao computador atacado, permitindo o roubo de informações financeiras valiosas ou a implementação de outras ferramentas capazes de fazer isso.
A situação ficou ainda pior pelo fato de os criminosos terem desenvolvido o software para as plataformas Windows e macOS. Em geral, o Mac é muito menos vulnerável a ameaças cibernéticas que o Windows. A funcionalidade das duas versões da plataforma do malware é exatamente a mesma.
Um outro ponto incomum da operação do AppleJeus é que, embora pareça se um ataque à cadeia de fornecimento, na verdade, talvez não seja esse o caso. O fornecedor do software de negociação de criptomoeda que foi usado para entregar a carga maliciosa nos computadores das vítimas tem um certificado digital válido para assinar seu software e registros do domínio que parecem legítimos. No entanto, segundo as informações disponíveis publicamente, os pesquisadores da Kaspersky Lab não conseguiram identificar nenhuma organização verdadeira localizada no endereço usado nas informações do certificado.
O grupo Lazarus, conhecido por suas operações sofisticadas e seus vínculos com a Coreia do Norte, é famoso não apenas por seus ataques de espionagem e sabotagem cibernética, mas também pelos ataques com motivação financeira. Vários pesquisadores, inclusive os da Kaspersky Lab, já relataram o grupo visando bancos e outras grandes corporações financeiras.
Para proteger a si mesmo e sua empresa de ataques cibernéticos sofisticados de grupos como o Lazarus, os especialistas recomendam:
• Não confie automaticamente no código que é executado em seus sistemas. Nem a aparência autêntica de um site, nem perfil sólido de uma empresa, nem certificados digitais garantem a ausência de backdoors;
• Use uma solução de segurança eficiente, equipada com tecnologias de detecção de comportamento malicioso capazes de identificar até ameaças anteriormente desconhecidas;
• Inscreva a equipe de segurança de sua organização em um serviço de relatórios de inteligência de ameaças de qualidade para obter acesso imediato a informações sobre as evoluções mais recentes em termos de táticas, técnicas e procedimentos de agentes de ameaças sofisticadas;
• Ao lidar com transações financeiras significativas, use a autenticação multifator e carteiras de hardware. Para essa finalidade, é preferível usar um computador autônomo isolado que você não utiliza para navegar pela Internet, nem para ler e-mail.
A Pure Storage está redefinindo sua estratégia de mercado com uma abordagem que abandona o…
A inteligência artificial (IA) consolidou-se como a principal catalisadora de novos unicórnios no cenário global…
À primeira vista, não parece grande coisa. Mas foi na pequena cidade de Pornainen, na…
O processo de transição previsto na reforma tributária terá ao menos um impacto negativo sobre…
O que antes parecia uma aliança estratégica sólida começa a mostrar rachaduras. Segundo reportagem do…
O Departamento de Defesa dos Estados Unidos firmou um contrato de US$ 200 milhões com…