O grupo de cibercriminosos Lazarus, da Coréia do Norte, ainda está mirando moedas criptografadas e adotando novas táticas, de acordo com um novo relatório da empresa de segurança cibernética e antivírus da Kaspersky Lab publicado em 26 de março.

O relatório revela que o grupo de hackers patrocinado pelo estado, Lazarus, tem estado ativo com uma nova operação desde novembro passado, onde o grupo usa o PowerShell, que lhes permite gerenciar e controlar o malware do Windows e macOS. A equipe do Lazarus, segundo informações, desenvolveu scripts personalizados do PowerShell que interagem com servidores maliciosos do C2 e executam comandos do operador.

Os nomes de scripts do servidor C2, por sua vez, são deturpados como arquivos do WordPress e outros projetos de código aberto. Assim que a sessão de controle de malware com o servidor é criada, o malware é capaz de baixar e carregar arquivos, atualizar a configuração de malware e coletar informações básicas do host, entre outros.

Kaspersky observa que os hackers ainda estão atacando sistemas envolvidos nos setores de criptomoeda e fintech, e aconselhou os usuários desses setores a terem cautela:

“Se você é parte do crescente setor de criptomoedas ou de startups tecnológicas, tenha cuidado extra ao lidar com novos terceiros ou instalar softwares em seus sistemas [...] E nunca 'Ativar conteúdo' (macros scripting) em documentos do Microsoft Office recebidos de fontes novas ou não confiáveis…”

Como publicado anteriormente, Lazarus é supostamente responsável por US$ 571 milhões dos US$ 882 milhões em criptomoedas que foram roubados de câmbios on-line de 2017 a 2018; quase 65 por cento da soma total. Das 14 brechas de câmbio separadas, cinco foram atribuídas ao grupo, entre elas o recorde da indústria de US$ 532 milhões do NEM da Coincheck do Japão

No início de março, a Cointelegraph informou que a Coréia do Norte já teria acumulado US$ 670 milhões em fiat e criptos através da realização de ataques de hackers, em que os hackers atacaram instituições financeiras no exterior 2015-2018 e supostamente usaram blockchain “para cobrir seus rastros.”