Acredita-se que os hackers que trabalham para o governo norte-coreano roubaram quase US$ 400 milhões em criptomoedas de sete empresas hackeadas ao longo de 2021, acima dos US$ 300 milhões que roubaram de quatro empresas no ano anterior.
A Chainalysis, uma empresa que rastreia transações ilegais de blockchain, disse em um relatório hoje que 58% dos fundos roubados eram Ether (ETH), enquanto o Bitcoin (BTC) representava apenas 20% dos fundos roubados.
Pesquisadores disseram que hackers norte-coreanos lavaram e sacaram a maior parte de seus fundos usando misturadores de criptomoedas e exchanges de criptomoedas baseadas na Ásia.
Mas os hackers não sacaram todos os fundos roubados; como a Chainalysis diz que encontrou mais de US$ 170 milhões em criptomoedas que os hackers roubaram de 49 exchanges de criptomoedas entre 2017 e 2021 no que pareciam ser “contas mantidas”, dinheiro que o grupo ainda precisava mover ou lavar após os roubos iniciais.
“Seja qual for o motivo, o tempo que a RPDC está disposta a manter esses fundos é esclarecedor porque sugere um plano cuidadoso, não desesperado e apressado”, disse a empresa hoje.
Kaspersky: BlueNoroff ligado a hacks em todo o mundo
A Chainalysis atribuiu todos esses ataques ao Lazarus Group, um termo genérico que é frequentemente usado para descrever vários atores de ameaças norte-coreanos.
Mas a realidade é que os hackers norte-coreanos geralmente operam em áreas específicas de interesse, como espionagem cibernética com foco político, rastreamento de dissidentes, espionagem econômica e roubo financeiro.
A subdivisão Lazarus mais frequentemente ligada a hacks de bancos e criptomoedas é um grupo rastreado como BlueNoroff, que o Departamento do Tesouro dos EUA descreveu como a máquina de fazer dinheiro da Coreia do Norte por seus programas de armas nucleares e mísseis balísticos em sanções impostas contra o grupo em 2019.
Em um relatório separado publicado hoje, a empresa de segurança russa Kaspersky disse que, após anos de investigação, finalmente conseguiu vincular o BlueNoroff a vários hacks em todo o mundo, em empresas de criptomoedas na Rússia, Polônia, Eslovênia, Ucrânia, República Tcheca, China, Índia, EUA, Hong Kong, Cingapura, Emirados Árabes Unidos e Vietnã.
A campanha, que a Kaspersky acompanhava internamente como SnatchCrypto desde 2017, usava documentos maliciosos enviados por e-mail ou mensagens do LinkedIn para indivíduos que trabalhavam em empresas de criptomoedas.
Uma vez que a vítima visualizasse e interagisse com esses arquivos, ela seria infectada com um backdoor que permitiria que os hackers pesquisassem em seu computador e ficassem de olho no que o indivíduo estava fazendo.
Outras campanhas foram ainda menos sofisticadas e usaram arquivos LNK (atalho do Windows), mas o resultado final foi o mesmo, com a gangue BlueNoroff obtendo acesso ao dispositivo da vítima.
“Em alguns casos em que os invasores perceberam que encontraram um alvo proeminente, eles monitoraram cuidadosamente o usuário por semanas ou meses”, disse a equipe da Kaspersky. “Eles coletavam as teclas digitadas e monitoravam as operações diárias do usuário, enquanto planejavam uma estratégia para roubo financeiro.”
Hackers substituem extensão do Chrome da vítima para roubar fundos
Como prova do nível de sua habilidade, Kaspersky disse que, em incidentes específicos, os hackers da BlueNoroff chegaram a desenvolver uma versão maliciosa da extensão oficial do Metamask Chrome, que eles instalaram posteriormente localmente, no dispositivo da vítima, substituindo a original, instalado na Chrome Web Store.
Os pesquisadores da Kaspersky disseram que essa extensão foi modificada para detectar quando uma vítima iniciaria uma transação e, em seguida, sequestraria os parâmetros da transação e enviaria a maior parte dos fundos do alvo para uma conta BlueNoroff.
“Tudo isso parece fácil, mas na verdade requer uma análise completa da extensão Metamask Chrome, que tem mais de 6 MB de código JavaScript (cerca de 170.000 linhas de código)”, disse o pesquisador da Kaspersky sobre a duração e o esforço que os hackers fizeram para realizar um ataque.
“A injeção é muito difícil de encontrar manualmente, a menos que você esteja muito familiarizado com a base de código Metamask. No entanto, uma modificação da extensão do Chrome deixa um rastro”, disse a equipe da Kaspersky, apontando para o fato de que, quando um ataque foi executado, a opção Modo de desenvolvedor na seção de extensões do Chrome teria que ser ativada e a fonte do A extensão Metamask também teria mudado da Play Store para um endereço local.
Fonte: Recorded Future
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
