O departamento de inteligência de ameaças do Google Cloud descobriu que hackers apoiados pelo governo da Coreia do Norte estão ativamente atacando exchanges de criptomoedas e empresas fintech do Brasil. O relatório de inteligência de ameaças do Google, datado de 13 de junho, destacou tentativas coordenadas de sequestrar, extorquir e fraudar indivíduos e organizações brasileiras.
Enquanto os grupos norte-coreanos focam principalmente em empresas de criptomoedas, aeroespacial, defesa e entidades governamentais, os criminosos cibernéticos apoiados pelo governo chinês preferem atacar apenas organizações governamentais e o setor de energia no Brasil.
O enredo por trás dos ataques cibernéticos no Brasil
O notório grupo de cibercriminosos norte-coreanos, Pukchong (também conhecido como UNC4899), tem como alvo cidadãos e organizações brasileiras através do mercado de trabalho. Eles enganaram candidatos a emprego desavisados a baixarem malware em seus sistemas. Segundo o relatório:
“O projeto era um aplicativo Python trojanizado para recuperar preços de criptomoedas que foi modificado para se comunicar com um domínio controlado por atacantes para recuperar uma carga útil de segunda etapa se condições específicas fossem atendidas.”
Ataques de malware semelhantes perpetrados por GoPix e URSA também foram encontrados ativamente visando empresas de criptomoedas brasileiras.
Confira o guia do Cointelegraph para aprender mais sobre malware de criptomoedas e como detectá-lo.
Ataques além das fronteiras
Recentemente, o provedor de carteiras de criptomoedas Trust Wallet pediu aos usuários da Apple que desativassem o iMessage, citando “inteligência credível” de uma exploração de dia zero que poderia permitir que hackers assumissem o controle dos telefones dos usuários.
Uma exploração de dia zero é um vetor de ataque cibernético que aproveita uma falha de segurança desconhecida ou não corrigida em software, hardware ou firmware de computador.
A empresa de segurança cibernética Kaspersky descobriu recentemente que o grupo de hackers norte-coreano Kimsuky supostamente utilizou uma nova variante de malware chamada “Durian” para lançar ataques em empresas de criptomoedas sul-coreanas.
“Durian possui funcionalidade completa de backdoor, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos”, escreveu a Kaspersky.
Além disso, a Kaspersky observou que o LazyLoad também foi usado pelo Andariel, um subgrupo dentro do consórcio de hackers norte-coreanos Lazarus Group — sugerindo uma conexão “tênue” entre Kimsuky e o grupo de hackers mais notório.