Nova campanha de roubo de criptomoedas busca grandes jogos
Uma nova campanha que visa não as carteiras de criptomoedas dos indivíduos, mas as carteiras de organizações maiores, está em andamento. O novo empurrão malicioso recebeu o apelido de SnatchCrypto e acredita-se que seja apoiado por fundos estatais norte-coreanos.
De acordo com os pesquisadores de segurança que divulgaram a campanha SnatchCrypto, a entidade por trás de tudo parece ser uma ramificação do Lazarus APT, apoiado pela Coreia do Norte, chamado BlueNoroff. A Lazarus é a maior entidade controladora que ganhou as manchetes várias vezes nos últimos anos. Os operadores do Lazarus são especializados em atingir instituições e plataformas financeiras, então não é de admirar que eles também estejam envolvidos no SnatchCrypto.
Até agora, a BlueNoroff realizou vários ataques contra organizações conectadas a criptomoedas em geral. O que os pesquisadores notaram é que o BlueNoroff APT leva muito tempo e se prepara com muito cuidado ao abordar suas vítimas e provavelmente usa uma mistura de engenharia social e correspondência comercial falsa, mas crível, para ganhar a confiança de alguns dos membros de suas vítimas.
O ZDNet citou os pesquisadores que publicaram um artigo na BlueNoroff, afirmando que eles chegam ao ponto de identificar "tópicos de interesse" dentro da organização-alvo e, em seguida, enviam documentos e arquivos maliciosos intimamente ligados ao tópico da discussão interna da empresa. Este é um nível de dedicação e precisão que poucos APTs podem exibir.
Os ataques empregados pela BlueNoroff empregam uma vulnerabilidade de execução remota de código para capturar a carga útil de um servidor. Os privilégios de acesso ao sistema são escalados antes que a carga útil principal seja implantada.
Um detalhe muito interessante que BlueNoroff faz em seu ataque é que eles têm uma macro VisualBasic que é usada para remover o link para a carga maliciosa armazenada no documento original usado para iniciar o ataque. Isso significa que o arquivo é, para todos os efeitos, limpo e seguro, o que cria mais complicações para os pesquisadores de segurança.
O ataque termina com a implantação de uma ferramenta de backdoor personalizada que monitora o sistema host e tenta interceptar e interferir quando detecta uma transação de criptomoeda.
De acordo com estatísticas coletadas por pesquisadores de segurança da Chainalysis, ao longo de 2021, os agentes de ameaças norte-coreanos conseguiram roubar impressionantes US$ 400 milhões em criptomoedas.
