O exército digital da Coreia do Norte tem um novo alvo: Bitcoin! Um olhar dentro de sua operação mais recente e ainda ativa...

Eles são conhecidos no submundo da darknet como "The Lazarus Group", mas fontes de inteligência dizem que são o exército digital da Coreia do Norte. Você pode ter ouvido o nome antes no infame hack de 2014 da Sony Pictures.

Mas sua operação mais recente tem um novo alvo - criptomoeda, e foi descoberta pela empresa de segurança cibernética Secureworks.

O foco do ataque são executivos de empresas financeiras que detêm e gerenciam criptomoedas, e funciona assim - um executivo recebe um e-mail, informando que há uma oportunidade de subir na hierarquia e se tornar o diretor financeiro da empresa.

Há um anexo na forma de um arquivo do Microsoft Word. Quando abertos, eles recebem uma notificação "a edição deve estar habilitada para visualizar o documento" e quando o usuário clica em "ok" ele inicia um script incorporado que faz 2 coisas.

Primeiro, ele cria e depois abre um documento inofensivo - uma descrição de trabalho real para manter o usuário distraído e sem suspeitas.

Em segundo lugar, lança secretamente a instilação de um vírus Trojan.

O documento de descrição do trabalho de aparência inofensiva (Imagem: Secureworks)

O vírus foi projetado para fornecer acesso remoto total aos hackers. O computador agora está completamente sob seu controle - eles podem registrar o que está sendo digitado, ver o que está na tela e até mesmo instalar mais malware, se desejarem.

Embora os trojans de acesso remoto não sejam novidade e possam até ser comprados e vendidos em fóruns clandestinos da darknet, o que se destaca sobre este é que não parece ser uma variação dos trojans conhecidos anteriormente - este parece ter sido codificado recentemente do zero .

Avaliando o código, a Secureworks Counter Threat Unit reconheceu algo das operações norte-coreanas anteriores - sua forte dependência do protocolo C2, que o The Lazarus Group usou no passado para se comunicar com seus principais servidores de comando e controle.

As primeiras descobertas deste novo ataque começaram em outubro e continuam até hoje.

Aqueles que sentem que podem ser alvo de tais ataques são recomendados para garantir que as macros estejam desabilitadas no Microsoft Word e exigir autenticação de dois fatores em sistemas com dados confidenciais.

-------
Autor: Ross Davis
Central de notícias de São Francisco