Um relatório da Google Cloud revelou que hackers apoiados pelo governo norte-coreano estão direcionando ataques sofisticados contra o setor de criptomoedas e fintechs no Brasil. Utilizando malware e esquemas de phishing, esses cibercriminosos buscam sequestrar, extorquir e fraudar indivíduos e organizações brasileiras.
O departamento de inteligência de ameaças da Google Cloud descobriu que cibercriminosos apoiados pelo governo norte-coreano estão ativamente atacando empresas de criptomoedas e fintechs no Brasil. O relatório de 13 de junho destacou tentativas coordenadas de sequestrar, extorquir e fraudar indivíduos e organizações brasileiras.
De acordo com a Mandiant, parte da Google Cloud, enquanto os grupos norte-coreanos se concentram principalmente em empresas de criptomoedas, setores aeroespacial, de defesa e entidades governamentais, os criminosos cibernéticos apoiados pelo governo chinês preferem atacar apenas organizações governamentais e o setor de energia no Brasil.
O Plano por Trás dos Ataques Cibernéticos no Brasil
O notório grupo cibercriminoso norte-coreano Pukchong, também conhecido como UNC4899, tem visado cidadãos e organizações brasileiras através do mercado de trabalho. Eles enganaram candidatos a emprego desavisados para que baixassem malware em seus sistemas. Segundo o relatório:
“O projeto era um aplicativo trojanizado em Python para recuperar preços de criptomoedas que foi modificado para se conectar a um domínio controlado pelo atacante para obter uma carga útil de segunda etapa se determinadas condições fossem atendidas.”
Ataques de malware semelhantes perpetrados por GoPix e URSA também foram encontrados visando ativamente empresas de criptomoedas no Brasil.
Ataques de Phishing Patrocinados pelo Governo Visando o Brasil
Recentemente, o provedor de carteira de criptomoedas Trust Wallet pediu aos usuários da Apple que desativassem o iMessage, citando “inteligência confiável” sobre uma exploração de zero-day que poderia permitir que hackers assumissem o controle dos telefones dos usuários. Uma exploração de zero-day é um vetor de ataque cibernético que aproveita uma falha de segurança desconhecida ou não corrigida em software, hardware ou firmware.
A empresa de segurança cibernética Kaspersky revelou recentemente que o grupo de hackers norte-coreano Kimsuky utilizou uma nova variante de malware chamada “Durian” para lançar ataques contra empresas de criptomoedas sul-coreanas.
“Durian possui funcionalidade abrangente de backdoor, permitindo a execução de comandos entregues, downloads adicionais de arquivos e exfiltração de arquivos,” escreveu a Kaspersky.
Além disso, a Kaspersky observou que LazyLoad também foi usado por Andariel, um subgrupo dentro do consórcio de hackers norte-coreanos Lazarus Group, sugerindo uma conexão “tênue” entre Kimsuky e o mais notório grupo de hackers.