Por Cláudio Fardin, Head of DFIR Team na Brasiline Tecnologia
As ameaças cibernéticas às empresas de criptomoedas continuam a evoluir, e o grupo norte-coreano de espionagem cibernética BlueNoroff tem focado intensamente nessa indústria. Em uma nova campanha de malware apelidada de "Hidden Risk" e identificada pelo Sentinel Labs, o grupo tem como alvo dispositivos macOS através de um malware de múltiplos estágios, que inclui sofisticadas táticas de phishing direcionadas.
Essa operação é parte de uma estratégia mais ampla de grupos patrocinados pelo Estado norte-coreano, como o Grupo Lazarus, que utiliza o cibercrime para gerar recursos financeiros ilícitos. Desde 2017, estima-se que esses grupos tenham arrecadado cerca de US$ 3 bilhões através de ataques em setores diversos.
De acordo com uma pesquisa recente do Sentinel Labs, a BlueNoroff usa e-mails maliciosos que se passam por atualizações de tendências de criptomoedas e relatórios de pesquisa. Esses e-mails incluem arquivos PDF infectados que, ao serem baixados, ativam uma série de estágios de malware.
A isca inicial parece ser um conteúdo legítimo de pesquisa sobre criptomoedas, enganando os usuários para baixarem um aplicativo que imita um arquivo PDF. Uma vez instalado, o malware ignora os sistemas de segurança internos do macOS, abrindo secretamente um documento falso e implantando um backdoor no dispositivo do usuário.
Esse malware é projetado para dar aos hackers acesso remoto ao sistema infectado, permitindo que monitorem atividades, controlem o dispositivo e extraiam dados sigilosos, incluindo as chaves privadas de carteiras digitais — um alvo particularmente atrativo para usuários de grandes volumes de criptomoedas. Ao contrário de campanhas anteriores que envolviam interações nas redes sociais para estabelecer confiança, desta vez o BlueNoroff aposta em e-mails diretos com títulos de alta atratividade, como "Hidden Risk Behind New Surge of Bitcoin Price" ou “Altcoin Season 2.0 — The Hidden Gems to Watch,” com o objetivo de atrair as vítimas para abrir os anexos infectados.
Os hackers frequentemente se passam por figuras influentes na indústria, usando até mesmo o nome de acadêmicos ou pesquisadores renomados para aumentar a credibilidade dos e-mails de phishing. Em um caso relatado, o grupo citou um trabalho acadêmico intitulado “Bitcoin ETF: Opportunities and Risks” para convencer os destinatários de que o e-mail era autêntico.
Uma das características mais alarmantes do "Hidden Risk" é sua habilidade de contornar as barreiras de segurança do macOS. O malware utiliza IDs legítimos de desenvolvedores Apple para evitar a detecção pelo Gatekeeper, um recurso que deveria bloquear softwares não confiáveis. Além disso, o malware altera o arquivo de configuração “zshenv” do sistema macOS para manter-se ativo, evitando notificações de alerta e dificultando a sua remoção.
Os hackers também conseguem adquirir ou sequestrar contas legítimas de desenvolvedores da Apple, o que permite que eles ignorem os mecanismos de segurança do macOS de forma repetida. Isso representa um sério risco, especialmente para setores como o de criptomoedas e o financeiro, que cada vez mais utilizam dispositivos macOS em suas operações.
As autoridades norte-americanas estão acompanhando de perto as ações cibernéticas norte-coreanas direcionadas ao setor de criptomoedas. Recentemente, o FBI emitiu um alerta sobre o aumento das campanhas de phishing direcionadas a profissionais de plataformas DeFi, que são atraídos para baixar malwares sob a promessa de ofertas de emprego lucrativas ou oportunidades de investimento.
Os especialistas em segurança cibernética recomendam que as empresas de criptografia tomem medidas robustas para reforçar sua segurança, incluindo:
Com a BlueNoroff continuando a intensificar seus ataques ao setor de criptomoedas, práticas de segurança cibernética são essenciais para proteger ativos digitais. As empresas que adotam medidas proativas podem reduzir significativamente os riscos de invasão e proteger suas operações contra ameaças cibernéticas sofisticadas.
Acompanhe os boletins de cibersegurança da Brasiline Tecnologia para se manter informado sobre os mais recentes ataques, tendências e estratégias de proteção digital. Com nossas análises especializadas, você estará sempre à frente das ameaças que podem comprometer a segurança da sua empresa.
Proteja seu futuro digital com conhecimento!
Ataques de Phishing: A Ameaça Mais Comum à Segurança de Smartphones
Cibercriminosos Escondem Infostealers em Comentários do YouTube e Resultados de Busca do Google
Phishing Avançado: Como Hackers Enganam Usuários e Como Sua Empresa Pode se Proteger