{"id":10793,"date":"2018-09-14T05:27:37","date_gmt":"2018-09-14T08:27:37","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=10793"},"modified":"2019-11-22T07:15:43","modified_gmt":"2019-11-22T10:15:43","slug":"lazarus-crypto-exchange-attack","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-crypto-exchange-attack\/10793\/","title":{"rendered":"Hackers da Coreia do Norte criam software para roubar criptomoedas"},"content":{"rendered":"

Os m\u00e9todos de ataque que cibercriminosos de elite usam s\u00e3o muitas vezes t\u00e3o sofisticados que at\u00e9 mesmo profissionais de ciberseguran\u00e7a t\u00eam grandes dificuldades em descobri-los. H\u00e1 algum tempo, nossos especialistas detectaram<\/a> uma nova campanha de um grupo norte-coreano chamado Lazarus<\/a>, reconhecido por seus ataques a Sony Pictures<\/a> e v\u00e1rias institui\u00e7\u00f5es financeiras \u2013 um roubo de US$ 81 milh\u00f5es de d\u00f3lares do Banco Central da Rep\u00fablica Popular do Bangladesh<\/a>, por exemplo.
\nNeste caso em particular, os invasores decidiram encher os bolsos com algumas criptomoedas<\/a>. Para abrir as carteiras das v\u00edtimas, lan\u00e7aram um malware nas redes corporativas de diversas exchanges<\/em> de criptomoedas. Os criminosos confiaram no fator humano e foram recompensados.<\/p>\n

Software de opera\u00e7\u00f5es com uma atualiza\u00e7\u00e3o maliciosa<\/strong><\/h3>\n

A penetra\u00e7\u00e3o na rede come\u00e7ou com um e-mail. Pelo menos um dos funcion\u00e1rios da exchange<\/em> recebeu uma oferta para instalar um aplicativo de opera\u00e7\u00f5es financeiras, compra e venda de moedas virtuais chamado Celas Trade Pro, da Celas Limited. Um software como esse pode ser potencialmente \u00fatil para a empresa, considerando seu perfil corporativo.<\/p>\n

A mensagem inclu\u00eda um link para o site oficial do desenvolvedor, que parecia normal \u2013 tinha at\u00e9 um certificado SSL<\/a> v\u00e1lido emitido pelo Comodo CA, um dos principais centros de certifica\u00e7\u00e3o.<\/p>\n

\"\"<\/p>\n

O Celas Trade Pro estava dispon\u00edvel para download em duas vers\u00f5es: para Windows e Mac, com uma vers\u00e3o para Linux para ser lan\u00e7ada.
\n\"\"O aplicativo tamb\u00e9m tinha um certificado digital<\/a> v\u00e1lido \u2013 mais um atributo de um produto leg\u00edtimo \u2013 e seu c\u00f3digo n\u00e3o continha componentes perigosos.<\/p>\n

Assim que foi instalado com sucesso no computador do funcion\u00e1rio, o Celas Trade Pro iniciou uma atualiza\u00e7\u00e3o. Para isso, entrou em contato com o servidor pr\u00f3prio do fornecedor \u2013 nada suspeito, tamb\u00e9m. Mas ao inv\u00e9s de uma atualiza\u00e7\u00e3o, o dispositivo baixou um Trojan de backdoor<\/a>.
\n\"\"<\/p>\n

Fallchill: um malware muito perigoso<\/strong><\/h3>\n

Uma backdoor \u00e9 uma \u201centrada de servi\u00e7o\u201d virtual que os criminosos podem usar para penetrar em um sistema. A maioria dos ataques anteriores a exchanges<\/em> foram realizados com o Fallchill. Em conjunto com alguns outros sinais, ele era a pe\u00e7a-chave de evid\u00eancia que apontava para os cibercriminosos; o grupo Lazarus j\u00e1 havia usado mais de uma vez essa backdoor, que permite o controle quase ilimitado dos dispositivos infectados. Estas s\u00e3o apenas algumas das suas funcionalidades:<\/p>\n