Analistas de uma empresa de segurança cibernética dos EUA detectaram o que é aparente um novo instalador de um vírus que mina Monero e o envia para uma universidade em Pyongyang, Coréia do Norte.

Como a empresa de segurança virtual AlienVault informou no dia 8 de Janeiro, o malware surgiu perto da véspera de Natal e contém instalações que depositam automaticamente o Monero em uma carteira associada à Universidade Kim Il Sung, na Coréia do Norte.

A AlienVault tem observado certas características contraditórias no malware, dificultando a verificação de seu autor, propósito e provável metamorfose. No relatório, foi relatado o seguinte:

"Não está claro se estamos ocompanhando um teste inicial de um ataque ou parte de uma operação de mineração" legítima", onde os proprietários do hardware estão cientes da mineração. Por um lado, a amostra contém mensagens óbvias impressas para depuração que um invasor com certeza evitaria. Mas também contém nomes falsos de arquivos que parecem ser uma tentativa de evitar a detecção do software de mineração previamente instalado."

Observando a natureza "estranhamente aberta" da suposta universidade receptadora, pode até ser que o autor não seja norte-coreano, ou que o destinatário na verdade não é o que parece.

O relatório da AlienVault divide os possíveis cenários a partir dos dados já recolhidos:

"O endereço do host barjuok.ryongnamsan.edu.kp ainda nada esclarece. Isso significa que o software não pode enviar criptomoedas para os autores - na maioria das redes. Portanto, pode ser que:

  1. O aplicativo foi projetado para ser executado em outra rede, como a da própria universidade;
  2. O endereço do host não é mais utilizado; ou
  3. O uso de um servidor norte-coreano é uma jogada para enganar pesquisadores de segurança ".

A AlienVault também observa que, se o governo norte-coreano estiver, de fato, por trás da operação, pode ser parte de uma mudança para usar criptomoedas para "fornecer um canal alternativo de movimentação financeira" à luz das recentes e constantes sanções contra o país.

No final de Dezembro, o CEO da Crowdstrike, uma empresa de segurança cibernética dos EUA, disse a jornalistas que tinha certeza de que o governo norte-coreano estava roubando e armazenando criptomoedas.

O surgimento desse novo malware marca a última fase da guerra cibernética que aflige as duas Coreias. No mês passado, hackers financiados pela Coreia do Norte foram severamente associados à roubo de criptomoedas, visando as transações digitais da Coreia do Sul.

Em um 'white hat hack' experimental no final de Dezembro, um meio de comunicação estabelecido em Seul usou especialistas em segurança para comprometer com sucesso as contas que criaram em cinco principais plataformas sul-coreanas de transação de criptomoedas, destacando a facilidade com que as partes mal-intencionadas poderiam roubar fundos.