Novo malware para macOS de hackers da Coreia do Norte se esconde por trás da empresa falsa de criptomoedas
Os infames hackers norte-coreanos conhecidos como Lazarus APT Group criaram outro malware direcionado aos usuários de Macs da Apple e criptomoedas.
Os infames hackers norte-coreanos conhecidos como Lazarus APT Group criaram outro malware direcionado a usuários de Macs da Apple que se passam por uma falsa empresa de criptomoedas.
Patrick Wardle, especialista em segurança do Mac da Apple e importante pesquisador de segurança da Jamf, publicou um post de blog em 12 de outubro, descrevendo a natureza do malware, revelado pelos pesquisadores do MalwareHunterTeam (MHT) no dia anterior.
Intimamente relacionado ao malware cripto anterior do macOS
MHT e Wardle alertaram que, no momento do aviso, o malware não era detectado por nenhum mecanismo do VirusTotal e que a amostra parece estar intimamente relacionada a uma variedade de malware para Mac criado pelo Lazarus Group e identificado pelo Kaspersky Labs no verão de 2018.
Como na tensão anterior, os hackers criaram uma empresa de criptomoeda falsa – desta vez chamada de “JMT Trading” – através da qual perpetram seu ataque. Depois de bolarem um aplicativo de trading de criptomoedas de código aberto, eles fizeram o upload do código no GitHub, ocultando o malware dentro dele.
Wardle analisou o processo de instalação do aplicativo, identificando o pacote suspeito e o daemon de inicialização oculto nele e analisando a funcionalidade maliciosa do script de backdoor dos hackers.
Embora o backdoor ofereça a um atacante remoto comando e controle completos sobre os sistemas macOS infectados, Wardle observa que as ferramentas de segurança de código aberto e os processos de detecção manual por usuários alertados não devem ter problema em detectar o malware.
Porém, ele reiterou seu aviso de que os mecanismos do VirusTotal não estavam sendo utilizados no momento da redação.
Ele também considera que os alvos mais prováveis do malware são funcionários de exchanges de criptomoedas e não investidores de varejo comuns.
Vilões cibernérticos
Conforme relatado, o Lazarus, supostamente patrocinado pelo Estado norte-coreano, obteve fama por suas atividades malignas. Estima-se que, no outono de 2018, o grupo roubou US$ 571 milhões em criptomoedas desde o início de 2017 e foi acusado de envolvimento no hack de US$ 532 milhões em NEM da exchange japonesa Coincheck.
Em setembro, Anne Neuberger – diretora da Diretoria de Segurança Cibernética da Agência de Segurança Nacional dos Estados Unidos (NSA) – destacou a Coreia do Norte como particularmente criativa em sua estratégia de guerra cibernética, apontando para o suposto uso de criptomoeda do Estado desonesto para arrecadar fundos para o presidente do regime Kim Jong-Un.