Hackers norte-coreanos estão utilizando uma nova variante de malware chamada "Durian" para lançar ataques contra empresas de criptomoedas sul-coreanas.
A grupo de hackers norte-coreanos Kimsuky utilizou o novo malware em uma série de ataques direcionados a pelo menos duas empresas de criptomoedas até o momento, conforme um relatório de ameaças de 9 de maio da empresa de segurança cibernética Kaspersky.
Isso foi feito por meio de um ataque "persistente" explorando software de segurança legítimo usado exclusivamente por empresas de criptomoedas na Coreia do Sul.
O malware Durian, previamente desconhecido, atua como um instalador que implanta uma corrente contínua de malware, incluindo um backdoor conhecido como "AppleSeed", uma ferramenta de proxy personalizada conhecida como LazyLoad e outras ferramentas legítimas como o Chrome Remote Desktop.
"Durian possui funcionalidade de backdoor abrangente, permitindo a execução de comandos entregues, downloads de arquivos adicionais e exfiltração de arquivos", escreveu a Kaspersky.
Além disso, a Kaspersky observou que o LazyLoad também foi usado pelo Andariel, um subgrupo dentro do consórcio de hackers norte-coreanos mais conhecido, o Lazarus Group, sugerindo uma conexão "tênue" entre Kimsuky e o grupo de hackers mais notório.
Relacionado: Grupo de hackers norte-coreanos Lazarus usando o LinkedIn para alvejar e roubar ativos: Relatório
Emergindo pela primeira vez em 2009, o Lazarus se estabeleceu como um dos grupos mais notórios de hackers de criptomoedas.
Em 29 de abril, o investigador independente de blockchain ZachXBT revelou que o grupo Lazarus havia lavado com sucesso mais de US$ 200 milhões em criptomoedas ilícitas entre 2020 e 2023.
O Grupo Lazarus é acusado de roubar mais de US$ 3 bilhões em ativos de criptomoedas nos seis anos que antecederam 2023.
O Lazarus foi creditado com o roubo de mais de 17% — um pouco mais de US$ 309 milhões — do total de fundos roubados em 2023. Ao longo de 2023, mais de US$ 1,8 bilhão em criptomoedas foram perdidos para hacks e explorações, de acordo com um relatório de 28 de dezembro da Immunefi.