Ataques de Malware da Coreia do Norte a Usuários de Mac na Indústria de Criptomoedas

Um novo relatório da empresa de cibersegurança SentinelOne destaca uma onda de ataques avançados de malware direcionados a empresas de criptomoedas, especificamente aquelas que usam dispositivos macOS.

Os ataques, atribuídos a hackers norte-coreanos associados ao grupo “BlueNoroff”, utilizam e-mails de phishing e links enganosos para infiltrar-se em sistemas corporativos e roubar fundos.

Evidências técnicas ligaram a campanha ao BlueNoroff, um subgrupo recentemente identificado pelo Tesouro dos EUA como parte do Lazarus, o grupo de hackers patrocinado pelo governo da Coreia do Norte mais notório, como observado pelo The Record.

A campanha do BlueNoroff, conhecida como “Risco Oculto”, supostamente começou em abril de 2023 e usa notícias falsas de atualizações de criptomoedas para atrair vítimas.

Aplicações maliciosas disfarçadas de documentos PDF enganam os usuários a baixar malwares. Esses emails de phishing muitas vezes parecem vir de fontes respeitáveis da indústria de criptoativos, contendo links para “relatórios” que, em vez disso, instalam uma aplicação de malware.

Títulos como “Risco Oculto por Trás da Nova Alta do Preço do Bitcoin” são elaborados para parecerem confiáveis, ludibriando os usuários a abrir os arquivos.

O relatório do SentinelOne destaca uma tática inovadora dentro da campanha: utilizar o arquivo “zshenv”, um arquivo de sistema macOS oculto, para manter o malware persistente. Este método permite que o malware evite a detecção, pois não aciona os alertas de segurança típicos do macOS.

Uma vez incorporado, o malware instala uma porta dos fundos, permitindo aos invasores controlar remotamente os dispositivos infectados, executar comandos e colher dados.

Essa campanha está alinhada com o interesse de longa data da Coreia do Norte em criptomoedas como fonte de financiamento. Em setembro de 2024, o FBI emitiu alertas sobre hackers norte-coreanos que visam plataformas de finanças descentralizadas (DeFi) e empresas de criptoativos através de phishing.

A campanha “Risco Oculto” destaca as técnicas em evolução do grupo, particularmente em direcionar vulnerabilidades do macOS.

As descobertas da SentinelOne destacam a importância da cautela na indústria de criptomoedas. Especialistas em segurança recomendam que as empresas aprimorem seus protocolos de segurança, eduquem os funcionários sobre ameaças de phishing e tenham cautela ao lidar com emails ou aplicativos inesperados.