O Grupo Lazarus tem como alvo es de empresas de criptomoedas. Ele lhes envia ofertas de emprego fictícias adaptadas aos perfis do LinkedIn.
Os hackers norte-coreanos são bem conhecidos no ambiente de segurança cibernética. Por vários anos, eles têm buscado serviços bancários e, recentemente, criptomoedas, e sua campanha de phishing já cobriu o mundo inteiro. O foco principal de seus negócios é, obviamente, dinheiro.
Em seu relatório, a F-Secure afirma que os cibercriminosos usaram o LinkedIn em uma de suas campanhas. Eles procuraram perfis de es de uma determinada empresa de criptomoedas e enviaram-lhes ofertas de emprego falsas. Para adicionar credibilidade ao seu golpe, os hackers tiveram que adaptar a oferta às habilidades fornecidas pela vítima em seu perfil. Eles queriam obter dados de o a carteiras de criptomoedas e contas bancárias.
Cuidado com os anexos no LinkedIn
Sobre o que foi o ataque? Junto com a mensagem no site, os invasores enviaram um anexo na forma de um arquivo .doc com dados detalhados sobre a oferta. Depois de abri-lo aos olhos da vítima, foi exibida uma mensagem informando que o conteúdo estava protegido pelo GDPR (Regulamento Geral de Proteção de Dados) e, para abri-lo, deveria ser executada uma macro. Como você pode imaginar, essa macro iniciou o processo de instalação do malware.
Primeiro, o arquivo executável é iniciado, em seguida, ele se conecta aos servidores várias vezes, baixando scripts escritos em VBScript e Powershell. Eventualmente, vários programas maliciosos são instalados no computador da vítima, incluindo: para baixar mais arquivos, conectar-se ao servidor, executar comandos específicos ou roubar dados de de várias fontes.
Como detectar se você foi vítima de um esquema de phishing?
No entanto, os pesquisadores dizem que o ataque não é particularmente difícil de detectar. É certo que uma das primeiras coisas que o software faz após a instalação é encerrar Windows Defender, mas não muda o fato de que o malware usa, entre outros, comandos de linha de comando e outros utilitários de sistema típicos. Segundo a F-Secure, o trabalho dos hackers tenta evitar a detecção e quer “interferir” em outros processos, mas ao mesmo tempo faz movimentos que quase certamente serão considerados suspeitos, por exemplo, por EDR (Endpoint Detection and Response), que é especializada na detecção de atividades de suspeitos.
A F-Secure afirma que os ataques desse tipo devem continuar. No entanto, a empresa enfatiza que as ferramentas do grupo norte-coreano são detectáveis e que as empresas de criptomoeda devem prestar mais atenção à segurança. Os pesquisadores relatam que a empresa que foi o alvo do ataque usou EDR e outras ferramentas de rede que detectaram a atividade de malware, mas nada foi feito a respeito.
