Duas empresas de segurança alertaram que hackers norte-coreanos, membros do famoso grupo Lazarus – um dos mais temidos do setor – criaram uma corretora de criptomoedas falsa e a encheram de vírus para roubar usuários.
Assim, quando uma vítima cria conta na plataforma, os hackers solicitam o download de um instalador contendo uma variante de um vírus chamado AppleJeus Trojan, que consegue capturar endereços de IP, dados confidenciais dos usuários, versões do sistema operacional e senhas salvas no navegador.
Os alertas foram emitidos pelas empresas de segurança Volexity e Malwarebytes, que lançaram investigações sobre possíveis ataques a exchanges de criptomoedas.
De acordo com as empresas de segurança, o grupo Lazarus registrou o domínio bloxholder[.]com e o configurou para hospedar uma plataforma de criptomoedas.
A BloxHolder, que se apresenta como uma plataforma inovadora de negociação de criptomoedas, promete lucros com um bot de negociações.
“Use nossos confiáveis bots de negociação de criptomoedas para automatizar estratégias de negociação de criptomoedas em mais de 20 exchanges com nossas soluções de automação de negociação no local com foco em privacidade.”
Uma investigação mais aprofundada revelou que o site é uma cópia de uma plataforma de criptomoedas legítima, mas várias modificações foram feitas, com a cópia falsa recheada de vírus e trojans.
Os especialistas em segurança disseram que o AppleJeus, identificado pela primeira vez pela Kaspersky Labs em 2018, coleta informações sobre os sistemas que infecta e posteriormente os hackers usam esses dados para roubar criptomoedas.
A Volexity acrescentou que “identificou vários outros arquivos com temas de criptomoeda vinculados a esta campanha”.
“O Lazarus Group continua seu esforço para atingir os usuários de criptomoedas, apesar da atenção contínua às suas campanhas e táticas.”
Lazarus Group
O Lazarus Group (também conhecido como ZINC) é um grupo de hackers norte-coreano que está ativo desde 2009. O grupo ganhou popularidade após hackear a Sony e criar o ransomware WannaCry, que criptografava sistemas de empresas em todo o mundo.
O governo dos EUA oferece uma recompensa de até US$ 5 milhões por informações que levem a prisão dos membros do grupo.
O grupo também é conhecido por roubar criptomoedas em todo o mundo para o governo norte-coreano. Ataques mais recentes se voltaram para a disseminação de carteiras falsas de criptomoedas e aplicativos de negociação que roubam as chaves privadas das pessoas e drenam suas criptomoedas.
Eles também foram responsáveis por atacar a Axie Infinity e roubar mais de US$ 617 milhões do popular jogo blockchain.
