Hackers norte-coreanos têm como alvo uma enorme exchange de criptomoedas – os fundos dos usuários estão seguros?
Hackers norte-coreanos estão tentando atrair especialistas em criptomoedas por meio de ofertas de trabalho falsas para a plataforma de troca de criptomoedas Coinbase.
Conforme relatado pela Bleeping Computer , uma campanha orquestrada pelo conhecido grupo de hackers norte-coreano Lazarus foi descoberta, e seu alvo são os envolvidos na indústria cada vez mais popular de fintech (tecnologia financeira).
No que é claramente parte de um ataque de engenharia social, o grupo de hackers se envolve em conversas com alvos por meio do LinkedIn, o que culmina com uma oferta de emprego apresentada à vítima em potencial.
A Coinbase é uma empresa líder em troca de criptomoedas, portanto, pelo valor nominal, muitos que não estão a par do ataque naturalmente estarão interessados em adicioná-los aos seus currículos. No entanto, se o ataque for bem-sucedido, as consequências podem levar a uma quantidade incalculável de carteiras de criptomoedas apreendidas e roubadas.
Hossein Jazi, que trabalha como pesquisador de segurança na empresa de segurança na Internet Malwarebytes e analisa Lazarus desde fevereiro de 2022, disse que indivíduos da gangue cibernética estão se passando por funcionários da Coinbase. O golpe atrai vítimas em potencial, abordando-as para preencher o papel de “Gerente de Engenharia, Segurança do Produto”.
Se esse indivíduo cair na falsa oferta de emprego, ele receberá instruções para baixar um PDF explicando o trabalho na íntegra. No entanto, o arquivo em si é na verdade um executável malicioso que utiliza um ícone PDF para enganar as pessoas.
O arquivo em si é chamado de “Coinbase_online_careers_2022_07.exe”, que parece inocente o suficiente se você não o conhecesse melhor. Mas enquanto abre um documento PDF falso criado pelos agentes da ameaça, ele também carrega códigos DLL maliciosos no sistema do alvo.
Depois de implantado com sucesso no sistema, o malware usará o GitHub como um centro de comando central para receber comandos, após o qual terá liberdade para realizar ataques em dispositivos que foram violados.
Os serviços de inteligência dos EUA já emitiram avisos sobre a atividade do Lazarus na emissão de carteiras de criptomoedas e aplicativos de investimento infectados com trojans, permitindo efetivamente o roubo de chaves privadas.
E os esforços do grupo foram lucrativos, para dizer o mínimo – o FBI descobriu que havia roubado criptomoedas com um valor de mais de US$ 617 milhões na época.
Este ataque em particular, que está conectado a um jogo baseado em blockchain, materializou-se devido a outro arquivo PDF enganoso, que foi enviado como uma oferta de emprego a um dos engenheiros do blockchain. Uma vez que o arquivo foi aberto, o sistema do indivíduo foi infectado, abrindo caminho para o Lazarus localizar uma falha de segurança e tirar vantagem dela em grande estilo.
De qualquer forma, a perspectiva é assustadora: abrir um único arquivo PDF levando ao comprometimento de toda a rede. No caso da Coinbase, que lida com bilhões de dólares em transações criptográficas, só podemos imaginar qual seria o resultado e as ramificações financeiras se Lazarus realmente conseguisse encontrar uma maneira de entrar.
Por enquanto, se você for abordado pela Coinbase de qualquer forma, pode ser uma boa ideia ser cauteloso ao abrir qualquer arquivo.