Hackers norte-coreanos têm como alvo trabalhadores de criptomoedas
Hackers que se acredita estarem associados ao grupo cibercriminoso Lazarus , sediado na Coreia do Norte, tentaram mais um assalto digital visando a empresa de criptomoedas deBridge Finance.
Conforme relatado pela Bleeping Computer , o deBridge opera como um “protocolo de transferência de liquidez que permite a transferência descentralizada de dados e ativos” entre várias plataformas blockchain.
Esse fato por si só foi motivo suficiente para Lazarus fazer da empresa seu alvo mais recente. A violação foi tentada enviando um e-mail de phishing aos funcionários. Se aberto, ele infectaria o sistema com malware , permitindo posteriormente obter informações confidenciais de dispositivos com Windows na rede.
Também lançaria as bases para que outra rodada de código malicioso fosse ativada em um estágio avançado do ataque cibernético.
Os funcionários da deBridge Finance receberam um e-mail na semana passada dos hackers, que se passaram pelo cofundador da empresa, Alex Smirnov. O e-mail continha detalhes falsos sobre “novos ajustes salariais” por meio de um arquivo HTML.
Esse arquivo foi mascarado como um PDF, acompanhado por um arquivo de atalho do Windows (.LNK) que tentou atrair as vítimas fazendo-se passar por um arquivo de texto de senha.
Depois que o arquivo PDF adulterado é aberto, um local de armazenamento em nuvem é lançado posteriormente, solicitando que o usuário consulte o arquivo de texto falso para obter uma senha. A partir daqui, o arquivo LNK se conecta ao prompt de comando com um comando que recupera e carrega uma carga útil armazenada remotamente.
Com os hackers agora violando o sistema com seu malware, ele pode obter informações relevantes sobre o sistema de destino, como nome de usuário, sistema operacional, CPU, adaptadores de rede e processos em execução.
Embora a maioria dos funcionários que viram o e-mail o tenham relatado como suspeito, um indivíduo desconhecia a natureza enganosa do conteúdo. Depois que o funcionário baixou e abriu o documento falso, Smirnov disse que conseguiu examinar o ataque em si.
Hackers norte-coreanos do grupo Lazarus são suspeitos de estarem por trás desse incidente em particular devido à semelhança nos nomes dos arquivos e na infraestrutura descoberta em um ataque anterior.
O grupo Lázaro certamente tem estado ativo ultimamente. Recentemente, tentou enganar os especialistas em criptomoedas com uma campanha de e-mail semelhante, fingindo ser a exchange de criptomoedas Coinbase. Em outros lugares, os hackers estavam ligados a um enorme roubo de criptomoedas de US$ 617 milhões no início deste ano.