Hackers da Coreia do Norte criam software para roubar criptomoedas

Os hackers do grupo conhecido como Lazarus, com ligações diretas ao governo da Coreia do Norte e responsáveis por grandes ataques a empresas de infraestrutura e órgãos governamentais, têm as criptomoedas como seu novo alvo. Os criminosos estão de olho no dinheiro de usuários e, também, no comprometimento de câmbios, bancos e companhias do setor por meio de uma campanha que envolve a disponibilização de um software malicioso e até mesmo a citação de uma desenvolvedora de apps que nem mesmo existe.

Estamos falando do Celas Trade Pro, que, na aparência, se parece muito com uma aplicação legítima e até simples, para análise financeira, compra e venda de moedas virtuais. O software, entretanto, é uma fachada para um esquema que envolve o desvio de criptomoedas e a abertura de backdoors em computadores de clientes e operadores, como forma de interferir no funcionamento desse mercado.

A descoberta é do Kaspersky Lab, que vem acompanhando os atos do Lazarus há mais de um ano. O novo foco começou a ficar evidente após o roubo de US$ 81 milhões em criptomoedas de um banco de Bangladesh após a infecção por meio de um software indicado a um de seus gerentes por meio de um e-mail enviado pelos hackers, oferendo uma ativação grátis para testes.

Na aparência, tudo funciona bem, mas o Celas Trade Pro, na realidade, é o vetor para instalação do FallChill, uma suíte de malwares que abre portas de entrada para acesso remoto, desativa soluções de segurança e permite o uso do computador infectado para diferentes fins, que vão desde simples ataques de negação de serviço até a invasão e domínio de redes corporativas, de acordo com o privilégio disponível em cada máquina.

O caso de Bangladesh, claro, foi o maior de todos e teve origem em um PC com Windows, mas a Kaspersky indica que o Lazarus também está distribuindo software malicioso para os sistemas operacionais Linux e macOS. Aqui, inclusive, ela se aproveita da noção errônea de que tais plataformas estão lives de vírus, quando, na verdade, eles existem, apenas em menor quantidade, mas com efeitos que podem ser igualmente danosos.

O mais curioso de todo o caso é que a Celas Limited, suposta desenvolvedora do software, têm um domínio funcional, com direito a publicações patrocinadas em redes sociais, bem como certificado digital emitido por uma empresa de verificação. Tudo falso e orquestrado para passar uma aparência de legitimidade.

O endereço da desenvolvedora, por exemplo, é de um restaurante de ramen na cidade de Chicago, nos EUA, enquanto o da companhia que emitiu o certificado também é americano, mas fica no meio do nada, nas proximidades da cidade de Cedar Springs. São, claro, informações que não sobrevivem à validação, mas, quando visualizadas nos sites “oficiais”, parecem acima de qualquer suspeita.

Para a Kaspersky, o caso deve servir como um alerta por dois motivos: o primeiro é a vulnerabilidade dos sistemas de criptomoedas, cujos fundos têm fácil interceptação e desvio para quem sabe o que está fazendo; e o segundo é quanto à suposta segurança de plataformas que não são o Windows. Nesse caso, tal noção não tem base na realidade, em um pensamento que leva a riscos para os utilizadores.

Além disso, claro, o aviso é para jamais confiar em ofertas de software feitas por e-mail ou soluções de empresas que não sejam reconhecidas. No caso da Celas Limited, por exemplo, bastava uma busca para perceber o golpe, mas os usuários não tendem a fazer isso, caindo no truque do site bonito e da aparência de legitimidade. Fique de olho em certificados digitais e comentários na web para garantir a segurança de suas aplicações e, principalmente, do dinheiro que está na carteira virtual.

Fonte: Kaspersky Secure List