Um grupo de hackers norte-coreanos usou uma falha desconhecida no Chrome para roubar criptomoedas

Uma quadrilha norte-coreana se aproveitou de uma falha de segurança até então desconhecida no Chrome para atacar organizações e roubar suas criptomoedas, revelou uma equipe de pesquisadores da Microsoft em um relatório.

Segundo o relatório publicado na sexta-feira, os pesquisadores de cibersegurança da Microsoft tomaram conhecimento das atividades criminosas dos hackers em 19 de agosto. O relatório afirma ainda que o grupo era afiliado ao Citrine Sleet, conhecido por atacar o setor de criptomoedas e provedores de serviços financeiros em geral.

Os hackers se aproveitaram de falhas nos navegadores

Isso ocorre em um momento em que as criptomoedas se tornaram um alvo frequente de hackers do governo norte-coreano há anos, com o Conselho de Segurança da ONU estimando que US$ 3 bilhões em criptomoedas foram roubados entre 2017 e 2023, de acordo com um artigo da TechCrunch.

Segundo os pesquisadores da Microsoft, o grupo de hackers explorou uma vulnerabilidade em um componente central do Chromium, que é o código subjacente ao Chrome e a outros navegadores populares, como o Microsoft Edge.

O relatório explica ainda que, quando os hackers exploraram as falhas nos navegadores, tratava-se de uma vulnerabilidade zero-day, o que significa que o Google, como fabricante do software, não tinha conhecimento da falha. De acordo com um artigo do TechCrunch, a equipe não teve tempo algum para lançar uma correção antes da exploração da vulnerabilidade.

O Google corrigiu o bug dois dias depois, em 21^de agosto, conforme explicações dos pesquisadores.

Segundo o TechCrunch, o porta-voz do Google, Scott Westover, afirmou que a gigante da tecnologia corrigiu o bug, mas sem dar mais detalhes.

Em declarações à imprensa, a Microsoft revelou ter notificado os "clientes visados ​​e comprometidos", embora não tenha podido fornecer mais informações sobre o alvo definido, nem sobre quantos alvos e vítimas foram afetados por esta "onda de ataques informáticos"

Seu porta-voz, Chris Williams, recusou-se a divulgar o número de organizações afetadas por essa prática indevida.

Quadrilha norte-coreana tem como alvo serviços financeiros

Segundo os pesquisadores, o grupo Citrine Sleet está sediado na Coreia do Norte e tem como alvo principal provedores de serviços financeiros e indivíduos que gerenciam criptomoedas para obter lucro. O grupo "realizou um extenso reconhecimento do setor de criptomoedas e de indivíduos associados a ele" como parte de suas técnicas de engenharia social.

"O agente malicioso cria sites falsos que se fazem passar por plataformas legítimas de negociação de criptomoedas e os utiliza para distribuir anúncios de emprego falsos ou para atrair vítimas a baixar uma carteira de criptomoedas ou um aplicativo de negociação malicioso, baseado em aplicativos legítimos", diz um trecho do relatório.

"O Citrine Sleet infecta seus alvos principalmente com o malware trojan exclusivo que desenvolveu, o AppleJeus, que coleta informações necessárias para assumir o controle dos ativos de criptomoeda das vítimas."

Relatório da Microsoft.

Quanto aos hackers norte-coreanos, os pesquisadores revelaram que eles começaram enganando a vítima para que visitasse um domínio da web sob seu controle. O relatório explica ainda que, devido a outra vulnerabilidade no kernel do Windows, os hackers conseguiram instalar um malware com acesso profundo ao sistema operacional do dispositivo da vítima. Os hackers obtiveram controle total dos dados e do dispositivo da vítima.

Segundo o TechCrunch, devido às rígidas sanções internacionais, o regime da Coreia do Norte recorreu a atividades ilícitas com criptomoedas para financiar seu programa nuclear.