Hackers distribuem aplicativos de carteira DeFi trojanizados para roubar criptomoedas

Hackers distribuem aplicativos de carteira DeFi trojanizados para roubar criptomoedas

Nota: O seguinte artigo irá ajudá-lo com: Hackers distribuem aplicativos de carteira DeFi trojanizados para roubar criptomoedas

A equipe de hackers apoiada pelo estado norte-coreano, conhecida como Lazarus Group, foi atribuída a mais uma campanha motivada financeiramente que aproveita aplicativos de carteira de finanças descentralizadas (DeFi) trojanizadas para distribuir um backdoor completo em sistemas Windows comprometidos.

Hackers norte-coreanos distribuem aplicativos de carteira DeFi trojanizados para roubar criptomoedas

O aplicativo foi projetado para acionar o lançamento do implante que pode assumir o controle do hospedeiro infectado. A empresa russa de segurança cibernética Kaspersky disse que encontrou o aplicativo desonesto pela primeira vez em meados de dezembro de 2021.

“Para o agente da ameaça Lazarus, o ganho financeiro é uma das principais motivações, com ênfase particular no negócio de criptomoedas. À medida que o preço da criptomoeda aumenta e a popularidade dos negócios de token não fungível (NFT) e finanças descentralizadas (DeFi) continua a aumentar, o direcionamento do grupo Lazarus para o setor financeiro continua evoluindo ”

Pesquisadores do Kaspersky GReAT destacados.

O esquema de infecção iniciado pelo aplicativo também resulta na implantação do instalador para um aplicativo legítimo, que é substituído por uma versão trojanizada em um esforço para cobrir seus rastros.

O malware gerado lança um aplicativo de carteira criado para o DeFiChain, ao mesmo tempo em que estabelece conexões com um domínio remoto controlado por invasores e aguarda mais instruções do servidor.

Com base na resposta recebida do servidor de comando e controle (C2), o trojan passa a executar uma ampla variedade de comandos, concedendo a ele a capacidade de coletar informações do sistema, enumerar e encerrar processos, excluir arquivos, iniciar novos processos e salve arquivos arbitrários na máquina.

A infraestrutura C2 usada nesta campanha consistia exclusivamente em servidores web previamente comprometidos localizados na Coréia do Sul, levando a empresa de segurança cibernética a trabalhar com a equipe de resposta a emergências de computadores do país (KrCERT) para desmantelar os servidores.

Portanto, tenha cuidado ao usar qualquer aplicativo desse tipo.

Confira também: Hackers se apresentam como autoridades policiais para obter acesso aos dados da Apple e Meta