Análises

Hackers norte coreanos estão hackeando softwares para trading

Published on 25 de agosto de 2018

A Kaspersky publicou um estudo esses dias, afirmando que tropa de hackers norte-coreanos, desenvolvedores do trojan “Lazarus” agora está direcionando suas forças contra as cryptomoedas.

A Kaspersky Labs acompanha o Lazarus há mais de um ano. Em abril, publicou o resultado das suas investigações provando que a equipe de hackers havia conseguido roubar US$ 81 milhões de um banco de Bangladesh.

Agora, o Lazarus está enganando os usuários desavisados ao fazer o download de software relacionado à cryptotrade com malware embutido. Trojanizando o software.

O Celas Trade Pro parece ser somente mais um programa de trading de cryptomoedas, uma interface para fazer negócios e ler dados de mercado. Contudo, a empresa Celas Limited, desde a publicidade da pesquisa da Kaspersky, não está mais com sua página no ar e nem sua página retorna em qualquer pesquisa oriunda do Google. O que aumenta a suspeita de envolvimento da desenvolvedora no caso.

A Kaspersky não tem certeza do que veio primeiro – Celas Limited, que lançou o Celas Trade Pro, ou os hackers. A pesquisa indica que o domínio foi comprado usando criptomoedas. Também se observou que o site usava certificados de segurança ruins. A Kaspersky aponta ainda que a sede da Celas Limited é na verdade apenas uma loja de em Chicago.

A situação só piora: quando rastreou-se o endereço de uma empresa listada nas assinaturas digitais do Celas Trade Pro, levou diretamente a um endereço no meio do nada.

Há uma forte chance de que tudo isso seja um grande truque – uma empresa falsa com uma falsa ferramenta de trading cheia de backdoors. A Kaspersky observa, porém, que, apesar de todas as evidências e informações descobertas, não há provas suficientes de que o site, a empresa ou o aplicativo foram originalmente criados com intenções maliciosas.

Entenda como o trojan funciona

Sua principal função é carregar o pacote de malware “FallChill” em máquinas, abrindo uma série de backdoors. Computadores infectados com o FallChill podem ser controlados remotamente e devem ser considerados completamente comprometidos.

O uso de tal malware se tornou o cartão de visitas do Lazarus. Deve-se notar que a US-CERT alega que o governo norte-coreano usou o FallChill contra inimigos políticos extensivamente no passado. A US-CERT utiliza outro nome para o Lazarus, – HIDDEN COBRA -.

Até bem recentemente, os hackers se contentavam em segmentar máquinas baseadas no Windows. Isso levou a crer que os sistemas operacionais macOS e Linux são mais seguros, com menos instâncias de vírus, malware e hacks relacionados. Contudo, há registros de infecção no MacOS através da instância do navegador, embora residual e sem comprovação de comprometimento do kernel.

O módulo depende de uma string do User-Agent codificada para o macOS:User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.139 Safari/537.36

O Lazarus está procurando explorar essa vulnerabilidade distribuindo malwares para o macOS e supostamente para o Linux. A pesquisa de Kaspersky avisa que isso deve ser uma chamada de alerta para usuários de plataformas não-Windows.

O que é interessante aqui é que isso não parece ser uma tentativa de roubar as cryptomoeda diretamente. Em vez disso, os hackers parecem estar procurando interromper cadeias de suprimentos e empresas de qualquer maneira que puderem. Ou neste caso, aproveitando a crescente popularidade do comércio de cryptomoedas. Ou seja: os hackers estão mirando nas corretoras, OTC services ou qualquer empresa financeira que esteja rodando o software e não no usuário doméstico.