Eles são conhecidos no submundo da darknet como "The Lazarus Group", mas fontes de inteligência dizem que são o exército digital da Coreia do Norte. Você pode ter ouvido o nome antes no infame hack de 2014 da Sony Pictures.

Mas sua operação mais recente tem um novo alvo - criptomoeda, e foi descoberta pela empresa de segurança cibernética Secureworks.

O foco do ataque são executivos de empresas financeiras que detêm e gerenciam criptomoedas, e funciona assim - um executivo recebe um e-mail, informando que há uma oportunidade de subir na hierarquia e se tornar o diretor financeiro da empresa.

Há um anexo na forma de um arquivo do Microsoft Word. Quando abertos, eles recebem uma notificação "a edição deve estar habilitada para visualizar o documento" e quando o usuário clica em "ok" ele inicia um script incorporado que faz 2 coisas.

Primeiro, ele cria e depois abre um documento inofensivo - uma descrição de trabalho real para manter o usuário distraído e sem suspeitas.

O pesquisador de segurança Didier Stevens montou uma armadilha ou, em termos de segurança digital, um "pote de mel". Pense nisso como uma operação digital sting, onde alguém coloca um servidor online aberto para ataques - mas nada de valor está realmente lá, está lá apenas para registrar os ataques à medida que eles acontecem.

Os logs desses honeypots revelaram hackers executando scripts destinados a detectar arquivos que contêm carteiras de criptomoedas.

Os nomes dos arquivos incluíam:

carteira - Copy.dat
carteira.dat
carteira.dat.1
carteira.dat.zip
carteira.tar
carteira.tar.gz
carteira.zip
carteira_backup.dat
carteira_backup.dat.1
carteira_backup.dat.zip
carteira_backup.zip

Didier disse que vê atividades como essa desde 2013 – mas nunca em um volume tão alto.

O mesmo está acontecendo agora com o Ethereum, uma vez que se tornou a segunda criptomoeda mais forte. O caçador de ameaças Dimitrios Slamaris montou um honeypot e fingiu ter algum Ethereum em sua carteira.

O hacker verificou qual software ele estava executando, quanto ethereum ele tinha na carteira e, em seguida, emitiu um comando eth_sendTransaction na tentativa de roubar gás da conta recebida anteriormente.

Parece que o hacker também teve um pequeno sucesso: "A conta de destino tem quase 8 Ethers ..." Dimitrios twittou em 8 de novembro.

Desde então, houve mais algumas transações, bem como uma transferência para a troca de ShapeShift.

Uma olhada na atividade da carteira do hacker.

As lições a serem tiradas disso são: sua carteira não deve ser chamada de "carteira" e, melhor ainda, sua carteira não deve estar em um computador que esteja online ou, pelo menos, atrás de um firewall forte.

A Coinbase está participando deste ano "Hackear o mundo" competição por hackers White Hat (bons) que ajudam as empresas a encontrar e corrigir falhas de segurança.

$ 50,000 é o grande prêmio - se um hacker conseguir executar remotamente o código nos servidores da coinbase.

Mas isso não é tudo que eles estão oferecendo, as recompensas adicionais incluem:

$ 10,000 para XSS/CSRF/Clickjacking afetando ações sensíveis.
$ 7,500 por roubo de informações privilegiadas.
US$ 5,000 para bypass de autenticação parcial.
e $ 3,000 para uma variedade de "tarefas menores".

A Coinbase também não é nova nessa ideia, eles admitem com orgulho - já pagaram US$ 176,031 em recompensas para 223 hackers/pesquisadores.

A prática é realmente comum entre empresas de tecnologia e outros patrocinadores deste evento incluem Airbnb, Uber e Dropbox.

"Hack the world" está em andamento agora e termina em 18 de novembro.