Por meio de ofertas de emprego falsas publicadas no LinkedIn, os hackers do Grupo Lazarus procuram enganar as vítimas para que executem códigos maliciosos e roubem criptomoedas.
Un denunciar publicado recentemente pela empresa de segurança F-Secure, detalha que o grupo de hackers conhecido como Grupo Lazarus está executando um ataque através da rede empresarial LinkedIn, para enganar usuários importantes e desavisados com uma oferta de emprego falsa que visa apenas roubar seus criptomoedas. Segundo o relatório, o modus operandi do Grupo Lazarus consiste em uma campanha de phishing para promover uma falsa oferta de emprego dentro de uma empresa blockchain através do LinkedIn. A referida oferta de emprego contém um documento que, ao ser baixado e aberto, executa código malicioso que permite aos hackers obter as credenciais de login e acesso à rede das vítimas, dados com os quais podem eventualmente acessar os sistemas onde estão armazenadas as criptomoedas.
O ataque tem como alvo exchanges, casas de custódia e outras organizações verticais de criptomoeda. Por exemplo, no último e mais recente ataque do Grupo Lazarus, os hackers visaram um administrador de sistemas numa grande bolsa, que recebeu uma oferta de emprego através da rede LinkedIn.
De acordo com o relatório da F-Secure, a falsa oferta de emprego indicava exatamente os conhecimentos, competências e habilidades exatas que a vítima possuía, e também continha um documento Word que descrevia mais informações sobre a oferta de emprego. Da mesma forma, a oferta indicava que o documento estava protegido pela Lei Geral de Regulamentação de Proteção de Dados da União Europeia (GPDR), por isso pediu à vítima que habilitasse macros para poder visualizar todo o documento, o que ao fazê-lo permitiu a instalação de um VBScript dentro do dispositivo para que os hackers pudessem controlar as conexões a vários servidores de comando comprometidos supervisionados pelo Grupo Lazarus.
Você pode estar interessado: Mineiros encontrados escondidos em serviços da Amazon
Campanhas de phishing direcionadas a administradores de empresas e organizações importantes
O Grupo Lazarus é um dos maiores grupos de hackers do mundo ligados à Coreia do Norte e tem liderado ataques a vários setores e empresas importantes. Além do recente ataque a empresas de criptomoedas, o Grupo Lazarus também está usando estratégias de phishing para atingir funcionários importantes da indústria aeroespacial e de organizações de defesa dos EUA.
McAfee y Céu limpo emitiu relatórios revelando que este grupo de hackers está aproveitando técnicas de ataque semelhantes às usadas através do LinkedIn contra o administrador da bolsa de criptomoedas, para comprometer os usuários e seus dispositivos e acessar informações confidenciais.
“As Técnicas, Táticas e Procedimentos (TTP) da atividade de 2020 são muito semelhantes às campanhas anteriores que operam sob o mesmo modus operandi que observamos em 2017 e 2019.”
A campanha de phishing levada a cabo por este Grupo Lazarus começou em 2018 com vários incidentes nos países da China, Estados Unidos, Reino Unido, Canadá, Alemanha, Rússia, Coreia do Sul, Argentina, Singapura, Hong Kong, Holanda, Estónia, Japão e Filipinas, de acordo com o relatório da F-Secure.
Como funciona o ataque de phishing do Grupo Lazarus?
Conforme mencionado no início, a falsa oferta de emprego informa às vítimas que o documento informativo está protegido pela Lei de Proteção de Dados da UE, pelo que a vítima deve ativar macros para visualizar o documento. Porém, quando as macros estão habilitadas, o documento executa código malicioso que coleta e extrai informações confidenciais do dispositivo comprometido, enviando-as aos invasores. Essas informações permitem que os hackers “baixem arquivos adicionais, descompactem dados na memória, iniciem a comunicação C2, executem comandos arbitrários e roubem credenciais de várias fontes” e muito mais.
Pela habilidade que este grupo de hackers possui, o Grupo Lazarus representa uma ameaça contínua à sociedade e às organizações, razão pela qual a empresa de segurança apela aos utilizadores para estarem atentos aos possíveis ataques dos quais podem ser vítimas, e às empresas, negócios. e as organizações devem estar conscientes da necessidade de aumentar a segurança e a vigilância contínua dos seus espaços, que representam um alvo específico para este grupo perigoso.
Sobre Grupo Lázaro
Estima-se que este grupo de hackers foi formado em 2007 na Coreia do Norte para direcionar ataques a instituições governamentais, bancárias, financeiras e militares, bem como a indústrias de diversos setores, como empresas de comunicação, entretenimento, empresas de navegação, blockchain e muito mais. . De acordo com um denunciar emitido pelo Departamento do Tesouro dos Estados Unidos, o Grupo Lazarus usa técnicas de espionagem cibernética, roubo de dados, roubo monetário e operações destrutivas por meio de malware para direcionar operações cibernéticas maliciosas.
Este grupo está envolvido em vários assaltos a bancos comerciais e casas de câmbio, como o roubo de 81 milhões de dólares de Banco de Bangladesh em 2016. Da mesma forma, o Departamento do Tesouro dos Estados Unidos estima que o Grupo Lazarus roubou mais de 570 milhões de dólares entre 2017 e 2018 para fornecer ao governo norte-coreano.
Continue lendo: Segurança: Várias exchanges apresentam vulnerabilidades que colocam em risco os fundos dos usuários
