A equipe norte-coreana de hackers, Lazarus Group, teve como alvo várias exchanges de criptomoeda no ano passado, segundo a Chainalysis. Um dos ataques envolveu a criação de um site falso, mas realista, de bot de negociação, oferecido aos funcionários da exchange DragonEx.
Em março de 2019, os hackers roubaram aproximadamente US$ 7 milhões em várias criptomoedas da exchange DragonEx, com sede em Singapura. Embora seja uma quantia relativamente pequena, os hackers fizeram um grande esforço para obtê-la.
O grupo usou um ataque sofisticado de phishing, onde criou um site realista e presente nas mídias sociais de uma empresa falsa, chamada WFC Proof. A suposta empresa havia criado o Worldbit-bot, um bot comercial que foi oferecido aos funcionários da DragonEx.
Captura de tela do site falso. Fonte: Chainalysis
Embora o software supostamente se parecesse com um robô comercial, ele continha um malware que poderia sequestrar o computador infectado. Eventualmente, o software foi instalado em uma máquina que continha as chaves privadas da carteira quente da DragonEx, permitindo que os hackers roubassem os fundos.
O ataque é notável por seu alvo e execução altamente específicos. Os hackers parecem muito focados em criptomoedas, até colocando um aviso irônico em seu site para não permitir que ninguém acesse chaves privadas pessoais.
Saque rápido
O grupo era conhecido anteriormente por congelar o dinheiro roubado por até 18 meses e retirá-lo quando a "barra" parecia limpa.
Em 2019, eles mudaram de comportamento, escolhendo trocar o dinheiro o mais rápido possível. Para fazer isso, o grupo Lazarus começou a usar carteiras habilitadas para CoinJoin, para misturar suas moedas.
Os hackers sacaram a maior parte do dinheiro nos 60 dias após o ataque, em oposição a quase um ano inteiro para os ataques de 2018.