Eles são conhecidos no submundo da darknet como "The Lazarus Group", mas fontes de inteligência dizem que são o exército digital da Coreia do Norte. Você pode ter ouvido o nome antes no infame hack de 2014 da Sony Pictures.
Mas sua operação mais recente tem um novo alvo - criptomoeda, e foi descoberta pela empresa de segurança cibernética Secureworks.
O foco do ataque são executivos de empresas financeiras que detêm e gerenciam criptomoedas, e funciona assim - um executivo recebe um e-mail, informando que há uma oportunidade de subir na hierarquia e se tornar o diretor financeiro da empresa.
Há um anexo na forma de um arquivo do Microsoft Word. Quando abertos, eles recebem uma notificação "a edição deve estar habilitada para visualizar o documento" e quando o usuário clica em "ok" ele inicia um script incorporado que faz 2 coisas.
Primeiro, ele cria e depois abre um documento inofensivo - uma descrição de trabalho real para manter o usuário distraído e sem suspeitas.
Em segundo lugar, lança secretamente a instilação de um vírus Trojan.
Embora os trojans de acesso remoto não sejam novidade e possam até ser comprados e vendidos em fóruns clandestinos da darknet, o que se destaca sobre este é que não parece ser uma variação dos trojans conhecidos anteriormente - este parece ter sido codificado recentemente do zero .
Avaliando o código, a Secureworks Counter Threat Unit reconheceu algo das operações norte-coreanas anteriores - sua forte dependência do protocolo C2, que o The Lazarus Group usou no passado para se comunicar com seus principais servidores de comando e controle.
As primeiras descobertas deste novo ataque começaram em outubro e continuam até hoje.
Aqueles que sentem que podem ser alvo de tais ataques são recomendados para garantir que as macros estejam desabilitadas no Microsoft Word e exigir autenticação de dois fatores em sistemas com dados confidenciais.
-------
Autor: Ross Davis
Central de notícias de São Francisco
Sem comentários
Postar um comentário