Hackers Norte-coreanos Expandem Ciberataques Globais Utilizando Ferramentas Blockchain

TLDR

• Hackers norte-coreanos estão a utilizar tecnologia blockchain para desenvolver sistemas de comando descentralizados.
• Ofertas de emprego falsas são uma tática comum para ciberataques norte-coreanos.
• Malware como BeaverTail e OtterCookie é usado para roubo de credenciais.
• O malware EtherHiding esconde payloads em blockchains públicas para sigilo.

Hackers ligados à Coreia do Norte estão a aumentar os seus ciberataques globais usando novas ferramentas de malware descentralizadas e evasivas, de acordo com relatórios recentes da Cisco Talos e do Grupo de Inteligência de Ameaças do Google (GTIG). Estas campanhas visam indivíduos e empresas através de esquemas falsos de recrutamento, com o objetivo de roubar criptomoedas, aceder a redes e evitar deteção. Os investigadores alertam que o uso de sistemas de comando baseados em blockchain está a tornar estas operações mais difíceis de interromper.

Expansão de Operações Cibernéticas Usando Malware Avançado

A Cisco Talos identificou um grupo de ameaça norte-coreano conhecido como Famous Chollima, que continua a evoluir as suas táticas e ferramentas. O grupo foi observado a usar duas famílias de malware relacionadas chamadas BeaverTail e OtterCookie, ambas desenvolvidas para roubar credenciais e recolher dados sensíveis. Estas variantes atualizadas agora partilham funções que melhoram a comunicação e eficiência durante os ataques.

Num caso investigado pela Cisco Talos, uma organização do Sri Lanka foi indiretamente afetada quando um candidato a emprego foi enganado para instalar um programa malicioso como parte de um teste técnico falso. O malware incluía módulos para registar teclas pressionadas e capturar ecrãs. As informações recolhidas foram então enviadas para servidores remotos controlados pelos atacantes. Os investigadores afirmaram que este método mostra como indivíduos podem ser comprometidos mesmo quando as organizações não são alvos diretos.

Blockchain como Sistema de Comando Descentralizado

O Grupo de Inteligência de Ameaças do Google relatou que um ator ligado à Coreia do Norte, conhecido como UNC5342, implementou um novo malware chamado EtherHiding. Este malware esconde payloads JavaScript maliciosos em blockchains públicas. Ao usar esta abordagem, os atacantes constroem um sistema de comando e controlo (C2) descentralizado que é difícil para as autoridades removerem.

De acordo com o GTIG, o EtherHiding permite que os atacantes modifiquem o comportamento do malware remotamente sem depender de servidores tradicionais. Esta técnica reduz as hipóteses de interrupção, uma vez que os dados da blockchain não podem ser facilmente derrubados. Os investigadores do Google conectaram esta operação a uma campanha mais ampla chamada Contagious Interview, onde ofertas de emprego falsas foram usadas para infetar vítimas. As descobertas revelam que grupos norte-coreanos estão a integrar tecnologia descentralizada para manter persistência em várias operações.

Campanhas de Recrutamento Falsas como Ponto de Entrada Principal

Tanto a Cisco como o Google observaram que estas operações cibernéticas frequentemente começam com anúncios de emprego fraudulentos direcionados a profissionais das indústrias de criptomoedas e cibersegurança. As vítimas são contactadas com supostas ofertas de entrevista e solicitadas a completar avaliações falsas que incluem ficheiros incorporados com malware.

As infeções envolvem uma mistura de famílias de malware como JadeSnow, BeaverTail e InvisibleFerret, que juntas permitem aos atacantes roubar credenciais, implementar ransomware e obter acesso mais profundo aos sistemas. Os investigadores acreditam que as campanhas procuram tanto ganho financeiro quanto acesso a longo prazo a ambientes corporativos para espionagem e exploração futura.

Medidas Defensivas e Ameaças Contínuas

A Cisco Talos e o Google divulgaram indicadores de comprometimento (IOCs) para ajudar as organizações a detetar atividades maliciosas relacionadas. Estes indicadores incluem marcadores técnicos que as equipas de segurança podem usar para monitorizar e bloquear comportamentos suspeitos ligados a estas campanhas.

Os analistas dizem que a combinação de engenharia social e ferramentas baseadas em blockchain está a criar novos desafios para a defesa de cibersegurança. Como as blockchains públicas não podem ser facilmente controladas ou encerradas, estão a tornar-se uma infraestrutura preferida para atores de ameaças que procuram manter acesso e ocultar as suas operações.

Os investigadores de ambas as empresas continuam a rastrear estas campanhas e a partilhar descobertas com a comunidade global de cibersegurança. Eles recomendam que as organizações verifiquem cuidadosamente as ofertas de emprego, restrinjam downloads de ficheiros durante processos de contratação e atualizem sistemas de monitorização para detetar famílias de malware em evolução como BeaverTail, OtterCookie e EtherHiding.

O post Hackers Norte-Coreanos Expandem Ciberataques Globais Usando Ferramentas Blockchain apareceu primeiro no CoinCentral.