O grupo de hackers Lazarus, que supostamente é patrocinado pelo governo norte-coreano, implantou novos vírus para roubar criptomoedas.

A grande empresa de segurança cibernética Kaspersky informou em 8 de janeiro que o Lazarus dobrou seus esforços para infectar os computadores dos usuários de Mac e Windows.

O grupo estava usando uma interface de negociação de criptomoeda de código aberto modificada, chamada QtBitcoinTrader, para entregar e executar código malicioso no que foi chamado de "Operação AppleJeus", como a Kaspersky relatou no final de agosto de 2018. Agora, a empresa relata que o Lazarus começou a fazer alterações no malware.

A Kaspersky identificou um novo vírus do macOS e do Windows, chamado UnionCryptoTrader, baseado nas versões detectadas anteriormente. Outro novo malware, voltado para usuários de Mac, é chamado MarkMakingBot. A empresa de cibersegurança observou que o Lazarus aprimorou o MarkMakingBot e especula que é "um estágio intermediário em mudanças significativas no malware do macOS".

Os pesquisadores também encontraram máquinas Windows infectadas por um arquivo malicioso chamado WFCUpdater, mas que não conseguiram identificar o instalador inicial. Kaspersky disse que a infecção começou com malware .NET disfarçado de atualizador de carteira WFC e distribuído por um site falso.

O malware infectou os PCs em várias etapas antes de executar os comandos do grupo e instalar permanentemente a carga útil.

Os invasores podem ter usado o Telegram para espalhar o malware

Verificou-se que as versões para Windows do UnionCryptoTrader foram executadas na pasta de downloads do Telegram, levando os pesquisadores a acreditar "com grande confiança que o ator entregou o instalador manipulado usando o messenger Telegram".

Outro motivo para acreditar que o Telegram foi usado para espalhar o malware é a presença de um grupo de Telegram no site falso. A interface do programa apresentava uma interface gráfica mostrando o preço do Bitcoin (BTC) em várias exchanges de criptomoedas

UnionCryptoTrader user interface screenshot

Captura de tela da interface do usuário do UnionCryptoTrader. Fonte: Kaspersky

A versão do UnionCryptoTrader para Windows inicia um processo contaminado do Internet Explorer, que é empregado para executar os comandos do invasor. A Kaspersky detectou instâncias do malware descrito acima no Reino Unido, Polônia, Rússia e China. O relatório diz:

"Acreditamos que os ataques contínuos do grupo Lazarus provavelmente não serão interrompidos tão cedo. [...] Assumimos que esse tipo de ataque às empresas de criptomoedas continuará e se tornará mais sofisticado.”

O Lazarus é conhecido por atingir usuários de criptomoeda há muito tempo. Em outubro de 2018, o Cointelegraph informou que o grupo havia roubado US$ 571 milhões em criptomoedas desde o início de 2017.

Em março de 2019, os relatórios da Kaspersky sugeriram que os esforços do grupo em segmentar usuários de criptomoedas ainda estavam em andamento e suas táticas estavam evoluindo. Além disso, o vírus macOS do grupo também foi aprimorado em outubro do ano passado.