{"id":19336,"date":"2022-04-28T09:00:38","date_gmt":"2022-04-28T12:00:38","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=19336"},"modified":"2022-04-26T15:45:34","modified_gmt":"2022-04-26T18:45:34","slug":"lazarus-defi-wallet-backdoor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/lazarus-defi-wallet-backdoor\/19336\/","title":{"rendered":"Lazarus backdoor na carteira DeFi"},"content":{"rendered":"

Em meados de dezembro do ano passado, um arquivo suspeito foi carregado no VirusTotal \u2014 o servi\u00e7o online que verifica arquivos em busca de malware. \u00c0 primeira vista, parecia um instalador de carteira de criptomoedas. Mas nossos especialistas analisaram<\/a> e descobriram que, al\u00e9m da carteira, ela entrega malware ao dispositivo do usu\u00e1rio. E parece que o programa n\u00e3o \u00e9 obra de pequenos bandidos \u2014 mas dos infames cibercriminosos por tr\u00e1s do Lazarus<\/a>.<\/p>\n

O que \u00e9 o Lazarus?<\/h2>\n

Lazarus \u00e9 um grupo APT<\/a>. Esses grupos s\u00e3o organiza\u00e7\u00f5es cibercriminosas que normalmente s\u00e3o bem financiadas, desenvolvem malware complexo e se especializam em ataques direcionados<\/a>, por exemplo, para espionagem industrial ou pol\u00edtica. Roubar dinheiro, se \u00e9 que isso chega a interessar, geralmente n\u00e3o \u00e9 seu objetivo principal.<\/p>\n

Lazarus, no entanto, \u00e9 um grupo APT que persegue ativamente o dinheiro de outras pessoas. Em 2016, por exemplo, o grupo fugiu com uma boa quantia<\/a> do Banco Central de Bangladesh; em 2018, infectou<\/a> uma troca de criptomoedas com malware; e em 2020 ele tentou o ransomware<\/a>.<\/p>\n

Carteira DeFi com backdoor<\/h2>\n

O arquivo que chamou a aten\u00e7\u00e3o coletiva de nossos pesquisadores continha um instalador infectado para uma carteira de criptomoedas descentralizada leg\u00edtima. DeFi (financiamento descentralizado) \u00e9 um modelo financeiro em que n\u00e3o h\u00e1 intermedi\u00e1rios como bancos, e todas as transa\u00e7\u00f5es s\u00e3o feitas diretamente entre os usu\u00e1rios. Nos \u00faltimos anos, a tecnologia DeFi vem ganhando popularidade. De acordo com a Forbes<\/em>, por exemplo, de maio de 2020 a maio de 2021, o valor dos ativos colocados em sistemas DeFi aumentou 88 vezes<\/a>. N\u00e3o surpreendentemente, ent\u00e3o, o DeFi est\u00e1 atraindo o interesse dos cibercriminosos.<\/p>\n

Como exatamente os cibercriminosos convencem as v\u00edtimas a baixar e executar o arquivo infectado n\u00e3o \u00e9 totalmente claro. No entanto, nossos especialistas sup\u00f5em que os invasores enviam aos usu\u00e1rios e-mails direcionados<\/a> ou mensagens nas redes sociais. Ao contr\u00e1rio das correspond\u00eancias em massa, essas mensagens s\u00e3o adaptadas a um destinat\u00e1rio espec\u00edfico e podem parecer muito plaus\u00edveis.<\/p>\n

De qualquer forma, quando o usu\u00e1rio executa o instalador, ele cria dois execut\u00e1veis: um \u2014 o programa malicioso, o outro \u2014 um instalador de carteira de criptografia limpo. O malware se disfar\u00e7a como navegador Google Chrome e tenta esconder a exist\u00eancia do instalador infectado copiando um instalador limpo em seu lugar, que \u00e9 executado imediatamente para que o usu\u00e1rio n\u00e3o suspeite de nada. Depois que a carteira \u00e9 instalada com sucesso, o malware continua a ser executado em segundo plano.<\/p>\n

O quanto \u00e9 perigoso?<\/h2>\n

O malware que entra no computador com a carteira DeFi \u00e9 um backdoor<\/a>. Dependendo das inten\u00e7\u00f5es do operador, o backdoor pode coletar informa\u00e7\u00f5es ou fornecer controle remoto sobre o dispositivo. Especificamente, pode:<\/p>\n