Existem diferentes grupos hackers que atuam dentro do mercado de criptomoedas, um dos mais famosos é o grupo Lazarus, supostamente financiado pela Coréia do Norte para levantar fundos para o país que sofre com várias sanções dos EUA. De acordo com um recente relatório os hackers do Lazarus estão atacando usuários de criptomoedas através do LinkedIn.
Segundo o relatório da empresa de segurança cibernética finlandesa F-Secure, o mais recente ataque foi focado em pessoas que trabalham dentro do setor, principalmente os que estão envolvidos em projetos de blockchain. O ataque é feito através de trojans escondidos em arquivos de textos enviados pelo LinkedIn.
De acordo com a companhia, os hackers criaram listagens falsas de trabalhos relacionados a projetos de Blockchain. Através dessa oferta, eles entrem em contato com diferentes profissionais e enviam um arquivo .doc com o nome “BlockVerify Group Job Description”, que quando aberto executa um arquivo macro que infecta o sistema da vítima.
Segundo as informações, todo o processo de phishing era feito imitando padrões e ofertas de emprego legítimas.
O documento que é utilizado pelos hackers está em circulação desde 2019 e já foi reportado por alguns programas de detecção de malware. Existem até mesmo relatórios públicos que apontam para o arquivo e para o código que é executado no sistema.
Uma vez executado o código acaba aproveitando várias portas expostas para mudar configurações do sistema e alcançar toda a rede da vítima. Primeiramente o vírus tinha como objetivo roubar credenciais para assumir o acesso ao computador. O objetivo final, no entanto, é o roubo de criptomoedas.
O relatório também destaca que o grupo de hackers investe significantemente na segurança operação de seus ataques para evitar a detecção e remover qualquer evidência de sua atividade.
Antes da pesquisa da F-Secure, o grupo tentou remover a evidência da sua presença no sistema da vítima através de ferramentas de eliminação de arquivos e remoção do log de dados. Porém, algumas amostras foram recuperadas ou capturadas pelos sistemas de defesa do sistema.
O grupo Lazarus não é uma novidade dentro da indústria cibernética. A equipe que funciona como um exército hacker da Coreia do Norte já lançou diferentes ataques em outros países e é considerada um problema constante dentro do criptomercado.
Alguns estimam que eles foram responsáveis por cerca de 68% das perdas com moedas digitais entre 2018 e 2019, dinheiro que é usado para financiar o regime de Kim Jong-um.