Com o mercado de DeFi ganhando popularidade muitos estão buscando carteiras DeFi para fazer parte dessa indústria. Uma recente investigação pela Kaspersky descobriu que uma carteira DeFi foi desenvolvida por um grupo hacker e tinha embutida nela uma backdoor para facilitar futuros ataques aos usuários desse serviço. Segundo a empresa de segurança os responsáveis pela carteira são o grupo Lazarus, um dos mais famosos hackers da internet.
De acordo com a Kaspersky, um arquivo suspeito foi submetido ao VirusTotal, serviço de identificação de malware. O site aponta que de imediato o arquivo parecia ser completamente normal, mas após análise, eles descobriram que a carteira DeFi tinha muito mais “por baixo do capô”.
“À primeira vista, parecia um instalador de carteira de criptomoedas. Mas nossos especialistas analisaram e descobriram que, além da carteira, ela entrega malware ao dispositivo do usuário.”, disse a Kaspersky.
Os pesquisadores descobriram que o arquivo em questão continha um instalador infectado de uma carteira de criptomoedas descentralizada legítima. Esse instalador cria dois executáveis, um programa legítimo de carteira de criptomoedas e um malware.
O malware se passava pelo navegador Google Chrome e tentava esconder a existência do instalador infectado copiando um instalador limpo em seu lugar, que seria executado imediatamente para que o usuário não suspeite de nada.
Depois de a carteira é instalada com sucesso, o malware continua a ser executado em segundo plano junto de outros aplicativos, sempre se mantendo escondido do usuário. A Kaspersky avisou que o backdoor permitia que os administradores do malware pudessem:
- Iniciar e encerrar processos;
- Executar comandos no dispositivo;
- Fazer download de arquivos para o dispositivo, excluí-los e enviar arquivos do dispositivo para o servidor C&C.
“Em outras palavras, no caso de um ataque bem-sucedido, o malware pode desativar o antivírus e roubar o que quiser — de documentos valiosos a contas e dinheiro. Ele também pode baixar outros programas maliciosos para o computador conforme os cibercriminosos quiserem.”
Com isso, o estrago poderia ser bem grande, principalmente em computadores onde pessoas guardam senhas bancárias ou arquivos relacionados a suas carteiras de criptomoedas.
Famoso grupo hacker estava por trás do golpe
O Lazarus é um famoso grupo de hackers que é especializado em ataques diretos em diferentes pessoas e entidades.
O grupo conseguiu até mesmo roubar dinheiro através de golpes direcionados ao Banco Central de Bangladesh em 2016. Mais recentemente foram ligados a um ataque hacker milionário ao Axie Infinity.
O grupo Lazarus é suspeito de ser financiado pelo governo da Coreia do Norte, usando o resultado dos roubos para ajudar o governo a driblar as sanções impostas por outros países.
Com esse tipo de financiamento, o Lazarus é considerado como um dos grupos hackers mais perigosos da internet atualmente.