Lazarus, o grupo de hackers norte-coreano que é um dos principais suspeitos do vazamento de dados da Sony em 2014, está adotando uma nova estratégia para suas campanhas de roubo de criptomoedas. Um relatório da Kaspersky aponta o uso do Telegram como um dos principais vetores de ataque.
Segundo informações do The Next Web, os pesquisadores apelidaram a nova onda de ataque de “Operação AppleJeus Sequel” – uma evolução da campanha AppleJeus, descoberta em 2018 e veiculada em 2019. O relatório aponta mudanças táticas nos ataques tanto no macOS quanto no Windows.
“Após o lançamento da Operação AppleJeus, o grupo Lazarus continuou a usar um modus operandi semelhante para comprometer os negócios de criptomoedas”, indica o relatório da Kaspersky. O Lazarus refinou a maneira como infecta um sistema, permanece sem ser detectado e obtém ilegalmente criptomoeda de máquinas comprometidas.
Acredita-se que os hackers tenham conseguido enviar o instalador manipulado para roubar as criptomoedas usando o Telegram messenger. “Infelizmente, não podemos obter todos os arquivos relacionados, pois algumas cargas foram executadas apenas na memória”, aponta o documento.
Como em ataques anteriores, empresas de comércio de criptomoedas falsas são usadas para atrair vítimas – com sites completos e links para grupos comerciais igualmente falsos do Telegram. Uma vez infectados, os invasores podem obter acesso remoto para controlar o dispositivo comprometido e promover seus ataques.
A Kaspersky identificou vítimas no Reino Unido, Polônia, Rússia e China. Várias dessas vítimas foram confirmadas como empresas de criptomoedas. Ainda não se sabe o quanto foi roubado. O The Next Web reforça que de acordo com um relatório da ONU publicado em agosto passado, hackers norte-coreanos haviam roubado US$ 2 bilhões invadindo instituições financeiras estrangeiras de trocas de criptomoedas.