A Elastic Security Labs revelou um importante avanço na área de cibersegurança. O grupo Lazarus tentou invadir uma corretora de criptomoedas usando um novo tipo de malware conhecido como "Kandykorn". Acompanhando o malware, estava o programa carregador "Sugarload", reconhecido pela sua extensão ".sld". Embora a corretora específica visada não tenha sido divulgada, a metodologia empregada pelo grupo Lazarus levanta sérias preocupações.
A Elastic Security Labs revela as atividades do Lazarus Group
Em 2023, observou-se um aumento significativo nos ataques a chaves privadas em corretoras de criptomoedas, atribuídos principalmente ao grupo cibercriminoso norte-coreano Lazarus Group. O modus operandi do Lazarus Group nesse ataque consistia em se passar por engenheiros de blockchain, interagindo com engenheiros associados à corretora de criptomoedas não identificada por meio do Discord. Fingindo serem colaboradores, eles ofereciam um bot de arbitragem que supostamente poderia explorar as diferenças de preço das criptomoedas em diversas corretoras.
Ao disfarçar os arquivos dentro da pasta ZIP do programa como “config.py” e “pricetable.py”, imitando um bot de arbitragem, eles convenceram os engenheiros a baixar o que parecia ser um “bot” benéfico. Após a execução, o programa iniciava um arquivo “Main.py”, que incluía programas inofensivos e um componente malicioso, “Watcher.py”. O Watcher.py estabelecia uma conexão com uma conta remota do Google Drive, baixando conteúdo para um arquivo chamado “testSpeed.py”
Após uma única execução, o testSpeed.py baixou conteúdo adicional e executou um arquivo chamado “Sugarloader”. O arquivo malicioso Sugarloader foi ocultado usando um “empacotador binário”, o que lhe permitiu escapar da maioria dos sistemas de detecção de malware. A Elastic odentinterrompendo o programa após o início das funções de inicialização e capturando um instantâneo da memória virtual do processo. Apesar de ter sido classificado como não malicioso pela detecção de malware do VirusTotal, o Sugarloader conseguiu baixar o Kandykorn para o sistema ao se conectar a um servidor remoto.
Desafios crescentes de cibersegurança no setor de criptomoedas em 2023
O Kandykorn, residente na memória do dispositivo, possui diversas funcionalidades que permitem ao servidor remoto executar atividades maliciosas. Por exemplo, comandos como “0xD3” podem listar o conteúdo do diretório do computador da vítima, e “resp_file_down” pode transferir os arquivos da vítima para o sistema do atacante. A Elastic sugeriu que o ataque provavelmente ocorreu em abril de 2023, o que indica uma ameaça contínua com o desenvolvimento constante de ferramentas e técnicas para fins maliciosos.
Este desenvolvimento está em consonância com a tendência predominante observada em 2023, em que corretoras e aplicativos centralizados de criptomoedas sofreram múltiplos ataques. Alphapo, CoinsPaid, Atomic Wallet, Coinex e Stake estiveram entre os alvos, com ataques que envolviam o roubo de chaves privadas dos dispositivos das vítimas, permitindo a transferência das criptomoedas dos clientes para os endereços dos atacantes. Autoridades, incluindo o FBI (Departamento Federal de Investigação dos Estados Unidos), associaram vários desses ataques ao Grupo Lazarus.
Incidentes como o ataque à Coinex e o ataque à Stake foram associados a essa entidade de cibercrime. O surgimento do Kandykorn e de seu carregador associado, Sugarload, no contexto das atividades do Grupo Lazarus, representa uma preocupação considerável de segurança no dent das criptomoedas . A natureza persistente dessas ameaças exige maior vigilância e melhorias contínuas nas medidas de segurança para combater tais atividades maliciosas.
